ブラスター(コンピュータワーム)
ブラスター
ブラスターワームの16進ダンプ。プログラマーがマイクロソフトの創設者ビル・ゲイツに残したメッセージを表示。
マルウェアの詳細
技術名称ブラスターとして

ロブサン

MSBLASTとして

  • Worm.Win32.Blaster (グローバル ハウリ)
  • Win32/Msblast (マイクロソフト)
  • WORM_MSBLAST (トレンドマイクロ)
  • Win32.Poza (CA) ブラスター (パンダ)
別名ロブサン、ラブサン、MSBlast
タイプワーム
隔離日2004
起源ミネソタ(B変異株のみ)
著者ジェフリー・リー・パーソン(Bバリアントのみ)
技術的な詳細
プラットフォームWindows XPおよびWindows 2000
使用されるポートリモートプロシージャコール

Blaster(別名LovsanLovesanMSBlast)は、2003年8月にWindows XPおよびWindows 2000のオペレーティングシステムを実行しているコンピュータ上で拡散したコンピュータワームでした。 [ 1 ]

このワームは2003年8月11日に初めて発見され、拡散し始めました。拡散速度は上昇し、2003年8月13日に感染数がピークに達しました。ネットワーク(企業や大学など)が感染すると、ファイアウォールでは通常、内部マシンによる特定ポートの使用を阻止できないため、ネットワーク内での拡散速度は速まりました。[ 2 ] ISPによるフィルタリングとワームに関する広範な宣伝により、Blasterの拡散は抑制されました。

2003年9月、ミネソタ州ホプキンス出身の18歳のジェフリー・リー・パーソンが、BlasterワームのB亜種を作成したとして起訴され、2005年1月に責任を認めて懲役18ヶ月の刑を宣告された。 [ 3 ]オリジナルのA亜種の作成者は不明のままである。

創造と効果

裁判所の文書によると、オリジナルのBlasterは、中国のセキュリティ研究者グループXfocusの研究者が、攻撃の実行を可能にしたオリジナルのMicrosoftパッチをリバースエンジニアリングした後に作成されたとのことだ。[ 4 ]

このワームは、ポーランドのセキュリティ研究グループLast Stage of Delirium [ 5 ]が、影響を受けるオペレーティングシステム上のDCOM RPCサービスで発見したバッファオーバーフローを悪用して拡散します。この脆弱性に対する修正プログラムは、1か月前にMS03-026 [ 6 ] (CVE-2003-0352)で、その後MS03-039 [ 7 ]でリリースされていました。これにより、このワームは、ユーザーが添付ファイルを開かなくても、ランダムなIPアドレスにスパムメールを送信するだけで拡散します。4つのバージョンが実際に検出されています。[ 8 ]これらはRPCの元の欠陥を悪用する最もよく知られた攻撃ですが、実際には、それほどメディアの注目を集めなかった12の異なる脆弱性が他にも存在しました。[ 9 ]

このワームは、システム日付が8月15日以降12月31日以前、およびそれ以外の月の15日以降の場合、windowsupdate.comのポート80に対してSYNフラッド攻撃を開始するようにプログラムされており、これによりサイトに対して分散型サービス拒否攻撃(DDoS)が仕掛けられる。 [ 8 ]標的サイトはwindowsupdate.comであり、リダイレクト先のwindowsupdate.microsoft.comではなかったため、マイクロソフトへの被害は最小限に抑えられた。マイクロソフトはワームの影響を最小限に抑えるため、標的サイトを一時的に閉鎖した。

ワームの実行ファイルであるMSBlast.exe [ 10 ]には2つのメッセージが含まれています。1つ目のメッセージは次の通りです。

ただ愛してるよサンと言いたいです!!

このメッセージにより、このワームはLovesanという別名で呼ばれるようになりました。2番目のメッセージは次の通りです。

ビリー・ゲイツ、なぜこんなことが可能になったのですか?金儲けをやめて ソフトウェアを修正してください!

これは、ワームの標的となったマイクロソフトの 共同創設者ビル・ゲイツ氏へのメッセージです。

このワームは、Windows が起動するたびに起動されるように、 次のレジストリエントリも作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ windows 自動更新=msblast.exe

タイムライン

  • 2003年5月28日:マイクロソフトは、ウェルチアが使用したWebDAVの脆弱性からユーザーを保護するための修正プログラムをリリースしました。(ウェルチアはMSBlastと同じ脆弱性を使用していましたが、この修正プログラムで修正された追加の拡散手法を持っていました。この手法は、MSBlastが使用した20万回のRPC DCOM攻撃後にのみ使用されました。)[ 11 ] [ 12 ]
  • 2003年7月5日: マイクロソフトが16日にリリースした修正プログラムのタイムスタンプ。[ 2 ]
  • 2003年7月16日:マイクロソフトは、当時まだ知られていなかったMSBlastからユーザーを保護するためのパッチをリリースしました。同時に、この脆弱性に関するセキュリティ情報も公開しました。[ 2 ] [ 13 ]
  • 2003年7月16日頃:ホワイトハットハッカーが、パッチ未適用のシステムに脆弱性があることを検証する概念実証コードを作成しました。このコードは公開されませんでした。[ 5 ]
  • 2003年7月17日: CERT/CCは警告を発し、ポート135をブロックすることを提案した。[ 14 ]
  • 2003年7月21日: CERT/CCはポート139と445もブロックすることを提案しました。[ 14 ]
  • 2003年7月25日: xFocusは、マイクロソフトが7月16日に修正パッチをリリースしたRPCバグを悪用する方法に関する情報を公開しました。[ 15 ]
  • 2003年8月1日: 米国はRPCバグを悪用したマルウェアに注意するよう警告を発令した。[ 5 ]
  • 2003年8月11日より前の時点: RPCエクスプロイトを使用する他のウイルスが存在する。[ 9 ]
  • 2003年8月11日: ワームのオリジナルバージョンがインターネット上に出現。[ 16 ]
  • 2003年8月11日: シマンテック・アンチウイルスが迅速な保護アップデートをリリースしました。[ 8 ]
  • 2003年8月11日夕方:ウイルス対策会社とセキュリティ会社がWindows Updateを実行するよう警告を発した。[ 16 ]
  • 2003年8月12日: 感染したシステムの数は30,000台と報告された。[ 16 ]
  • 2003年8月13日:2つの新しいワームが出現し、拡散し始める。(MSBlastの亜種であるSophosと、同じ脆弱性を利用した全く新しいワームであるW32/RpcSpybot-A)[ 17 ]
  • 2003年8月15日: 感染したシステムの数は423,000台と報告されました。[ 18 ]
  • 2003年8月16日:windowsupdate.comへのDDoS攻撃開始。(このURLは実際のサイトwindowsupdate.microsoft.comへのリダイレクトに過ぎなかったため、攻撃はほぼ失敗に終わった。)[ 16 ]
  • 2003年8月18日: マイクロソフトはMSBlastとその亜種に関する警告を発しました。[ 19 ]
  • 2003年8月18日: 関連する有用なワームであるウェルチアがインターネット上に出現した。[ 20 ]
  • 2003年8月19日:シマンテックはウェルチアのリスク評価を「高」(カテゴリー4)に引き上げた。[ 21 ]
  • 2003年8月25日:マカフィーはリスク評価を「中」に引き下げた。[ 22 ]
  • 2003年8月27日: ワームの亜種の一つにHPに対する潜在的なDDoS攻撃が発見された。[ 8 ]
  • 2004年1月1日: Welchiaが自身を削除する。[ 20 ]
  • 2004年1月13日: マイクロソフトはMSBlastワームとその亜種を除去するためのスタンドアロンツールをリリースしました。[ 23 ]
  • 2004年2月15日: 関連するワームであるWelchiaの亜種がインターネット上で発見されました。[ 24 ]
  • 2004年2月26日: シマンテックはウェルチアワームのリスク評価を「低」(カテゴリー2)に引き下げた。[ 20 ]
  • 2004年3月12日:マカフィーはリスク評価を「低」に引き下げた。[ 22 ]
  • 2004年4月21日:「B」変異体が発見される。[ 22 ]
  • 2005年1月28日: MSBlasterのB亜種の作成者が懲役18ヶ月の判決を受ける。[ 25 ]

副作用

このワームはWindows 2000またはWindows XPを実行しているシステムでのみ拡散しますが、Windows Server 2003Windows XP Professional x64 Editionを含む他のバージョンのWindows NTを実行しているシステムでは、 RPCサービスを不安定にする可能性があります。特に、Windows Server 2003では、バッファオーバーフローを検出してRPCSSプロセスをシャットダウンする/GSスイッチ付きでコンパイルされているため、このワームは拡散しません。[ 26 ]

感染が発生すると、バッファオーバーフローによりRPCサービスがクラッシュし、Windowsは次のメッセージを表示し、通常60秒後に自動的に再起動します。[ 27 ]

システムのシャットダウン:

このシステムはシャットダウン中です。作業中の作業をすべて保存してログオフしてください。保存されていない変更は失われます。このシャットダウンはNT AUTHORITY\SYSTEMによって開始されました。

シャットダウンまでの時間: 時間:分:秒

メッセージ:

リモート プロシージャ コール (RPC) サービスが予期せず終了したため、Windows を再起動する必要があります。

これは多くのユーザーが感染した最初の兆候でした。感染したマシンでは、起動後数分ごとに頻繁に発生しました。カウントダウンを止めるための簡単な方法は、「shutdown /a」コマンドを実行することですが、[ 28 ]空の(ユーザーがいない)ウェルカム画面が表示されるなどの副作用が発生します。[ 29 ] Welchiaワームも同様の効果がありました。数か月後、Sasserワームが出現し、同様のメッセージが表示されるようになりました。

参照

参考文献

  1. ^ 「CERT Advisory CA-2003-20: W32/Blaster worm」 . CERT/CC. 2003年8月14日. 2014年10月17日時点のオリジナルよりアーカイブ。 2018年11月3日閲覧
  2. ^ a b c「MS03-026: RPC のバッファオーバーランによりコードが実行される可能性がある」。Microsoftサポート。Microsoft Corporation 。 2018年11月3日閲覧
  3. ^ 「ミネソタ州の男性、MS Blasterコンピュータワームの亜種を作成して配布した罪で懲役18ヶ月の判決」米国司法省2005年1月28日. 2021年2月17日閲覧
  4. ^ Thomson, Iain (2003年9月1日). 「FBIが『愚かな』Blaster.B容疑者を逮捕」 vnunet.com . 2008年11月1日時点のオリジナルよりアーカイブ2018年11月3日閲覧。
  5. ^ a b c「MSBlast W32.Blaster.Worm / LovSan :: 削除手順」 able2know.org. 2003年8月12日. 2018年11月3日閲覧
  6. ^ 「マイクロソフト セキュリティ情報 MS03-026 - 緊急」 . learn.microsoft.com . 2023年3月1日.
  7. ^ 「マイクロソフト セキュリティ情報 MS03-039 - 緊急」 . learn.microsoft.com . 2023年3月1日.
  8. ^ a b c d「W32.Blaster.Worm」 . Symantec. 2003年12月9日. 2018年5月17日時点のオリジナルよりアーカイブ。 2018年11月3日閲覧
  9. ^ a b「脆弱性のライフサイクル」(PDF)。インターネット・セキュリティ・システムズ社、2005年。2016年12月24日時点のオリジナル(PDF)からアーカイブ。 2018年11月3日閲覧
  10. ^ 「Worm:Win32/Msblast.A」 . Microsoft Corporation . 2018年11月3日閲覧。
  11. ^ Bransfield, Gene (2003-12-18). 「ウェルチアワーム」(PDF) . pp. 14, 17. 2018年11月3日閲覧
  12. ^ 「Windowsカーネルメッセージ処理におけるバッファオーバーランにより、特権が昇格される可能性がある(811493)」 。 2018年11月3日閲覧
  13. ^ 「Microsoft Windows RPC実装の欠陥」 2003年7月16日。2016年3月4日時点のオリジナルよりアーカイブ
  14. ^ a b「Microsoft RPCのバッファオーバーフロー」 2003年8月8日. 2014年7月15日時点のオリジナルよりアーカイブ2018年11月3日閲覧。
  15. ^ 「Windows RPCインターフェースにおけるLSDのバッファオーバーランの分析」 2003年7月25日。2018年2月17日時点のオリジナルよりアーカイブ2018年11月3日閲覧。
  16. ^ a b c d Roberts, Paul F. (2003年8月12日). 「Blasterワームの拡散、専門家が攻撃を警告」 InfoWorld . 2018年11月3日閲覧
  17. ^ Roberts, Paul F. (2003年8月13日). 「新たなBlasterワームの亜種が蔓延」 . InfoWorld . 2018年11月3日閲覧
  18. ^ Roberts, Paul F. (2003年8月18日). 「Blaster worm attack a bust」 . InfoWorld . 2018年11月3日閲覧
  19. ^ 「Blasterワームとその亜種に関するウイルス警告」 . Microsoft サポート. Microsoft Corporation . 2018年11月3日閲覧
  20. ^ a b c「W32.Welchia.Worm」 . Symantec. 2017年8月11日. 2018年9月3日時点のオリジナルよりアーカイブ。 2018年11月3日閲覧
  21. ^ナレイン、ライアン (2003-08-19) .「『友好的な』ウェルチアワームが大混乱を引き起こす」 InternetNews.com 。 2018年11月3日閲覧
  22. ^ a b c「ウイルスプロファイル: W32/Lovsan.worm.a」 . McAfee . 2003年8月11日. 2018年11月3日閲覧
  23. ^ 「Windows 2000またはWindows XPを実行しているコンピュータからBlasterワームとNachiワームの感染を除去するツールが利用可能になりました」。Microsoftサポート。Microsoft Corporation。2014年8月6日時点のオリジナルからアーカイブ。 2018年11月3日閲覧
  24. ^ 「W32.Welchia.C.Worm」 . Symantec. 2007年2月13日. 2018年11月3日時点のオリジナルよりアーカイブ。 2018年11月3日閲覧
  25. ^ 「ミネソタ州の男性、MS Blasterコンピュータワームの亜種を作成して配布した罪で懲役18ヶ月の判決」 2005年1月28日。2014年7月14日時点のオリジナルよりアーカイブ。 2018年11月3日閲覧
  26. ^ Howard, Michael (2004-05-23). 「BlasterがWindows Server 2003に感染しなかった理由」 . Microsoft Developer . Microsoft Corporation . 2018年11月3日閲覧
  27. ^ 「Worm_MSBlast.A」 . TrendMicro.com . 2018年11月3日閲覧。
  28. ^ 「Blasterワームウイルスまたはその亜種により、リモートプロシージャコール(RPC)サービスに関するNT AUTHORITY\SYSTEMエラーメッセージが表示され、コンピューターがシャットダウンする」 HPコンシューマーサポートHP 2014年11月10日時点のオリジナルよりアーカイブ2018年11月3日閲覧
  29. ^ 「Blaster Worm」 Techopedia、2011年9月6日。 2018年11月3日閲覧
「 https://en.wikipedia.org/w/index.php?title=Blaster_(computer_worm)&oldid=1331302548」より取得