W32.Blaster.B.Worm はTCPポート135を使ってDCOM RPCの脆弱性(マイクロソフト セキュリティ情報MS03-026を参照)を悪用するW32.Blaster.Wormの亜種です。このワームは、Windows 2000 と Windows XP のみを標的とします。Windows NT、Windows 2003 Serverにも、（修正パッチを適用していない場合は）DCOM RPCの脆弱性が存在しますが、これらのOSに対して複製するようには設計されていません。このワームはpenis32.exe というファイルを、%WinDir%\system32 ディレクトリにダウンロードし、実行しようとします。大量のメールを送信する機能はありません。

別名: WORM_MSBLAST.B [Trend], Win32.Poza.C [CA], W32/Lovsan.worm.c [McAfee], Worm.Win32.Lovesan [KAV]

種別: ワーム

感染サイズ: 7,200 バイト

影響を受けるシステム: Windows 2000, Windows XP

影響を受けないシステム: Linux, Macintosh, Microsoft IIS, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT

CVE識別番号: CAN-2003-0352

対応日(Intelligent Updater)* 2003/08/13(米国時間) 対応日(Live UpdateTM)** 2003/08/13(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 低 ダメージ: 中 感染力: 高

ダメージ

• 発病症状:
  • システムの不安定化: コンピュータが異常終了する可能性がある
    
  • 不正アクセス: cmd.exeという非表示のリモートシェルを開く
    

感染力

• ポート: TCP 135, TCP 4444, UDP 69
  
• 感染対象: 修正プログラムが未適用のDCOM RPC サービスを実行しているコンピュータ
  

W32.Blaster.B.Wormが実行されると、次のことを行います。

1. "BILLY"というミューテックスを作成します。このミューテックスがすでに存在する場合、ワームは動作を終了します。
   
   
2. 次の値を
   
   "windows auto update"="penis32.exe"
   
   次のレジストリキーに追加することによって、
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   Windowsの起動時に必ずワームが実行されるように設定します。
   
   
3. IPアドレスを生成し、そのアドレスのコンピュータに感染を試みます。IPアドレスは次のアルゴリズムに基づいて生成されます。
   
   • 40%の確率で、 A.B.C.0の形式のIPアドレスが生成されます。A.B.は、感染元となるコンピュータのIPアドレスの先頭2つの値と同じです。
     
     Cは、感染元となるシステムのIPアドレスの3番目の値に基づいて計算されます。ワームは40%の確率でCの値が20よりも大きいかどうかを確認します。20より大きい場合は、Cの値から20未満のランダムな値を差し引いた値を使用します。IPアドレスの計算が終わると、ワームは算出されたIPアドレスに該当するコンピュータを探して感染しようとします。
     
     その後、上記で計算したIPアドレスの0の部分に1を加え、そのアドレスに該当する他のコンピュータを探して攻撃しようとします。この操作をIPアドレスの0の部分が254に達するまで繰り返し行います。
     
     
   • 60%の確率で、完全にランダムなIPアドレスを使用します。
     
     
4. DCOM RPCの脆弱性を悪用することのできるTCPポート 135にデータを送信します。このワームは、Windows XP攻撃用とWindows 2000攻撃用の2通りのデータのうちいずれか一方を送信します。Windows XPデータが送信される確率は80%、Windows 2000データが送信される確率は20%です。
   
   注意：
   
   • これは、ローカルサブネットが、TCPポート 135への要求で飽和状態になることを意味します。
     
   • このワームは攻撃データをランダムに作成するため、送信されるデータの内容によってはコンピュータが異常終了する場合があります。
     
   • W32.Blaster.B.Wormは、Windows NT あるいはWindows 2003サーバといったOSにまで感染を広げる能力はありませんが、修正パッチを適用していない場合、ワームが脆弱性の利用を試みた結果として、これらのOSを異常終了させてしまう可能性があります。しかしながら、このワームを、これらのOS上に手動で置き、実行すれば、ワームは実行され、拡散します。
     
   
   
5. TCP ポート 4444で待機するリモートシェルcmd.exeを作成します。そのcmd.exeには隠しファイル属性が設定されています。 これにより、攻撃者は、感染したシステムに対してリモートコマンドを発行することができます。
   
   
6. UDP ポート 69で接続を待機します。DCOM RPCの脆弱性を利用して接続することができたコンピュータからの接続要求を受信すると、そのコンピュータに対しpenis32.exeを送信し、実行するためのコマンドを送信します。
   
   
7. システムの現在の日付の「月」が8月以降の場合、あるいは「日」が15日以降の場合、"windowsupdate.com"に対しサービス拒否攻撃を実行します。現在のロジックによると、このワームは今月の16日にサービス拒否攻撃を開始し、年末までそれを続けるように設計されています。
   
   

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

W32.Blaster.B.Worm 駆除ツールを使った方法
Symantec Security Responseは、W32.Blaster.B.Worm 専用の駆除ツールを開発しました。この脅威を最も容易に駆除する方法は、このツールを実行することです。

手動による駆除
駆除ツールの代替方法として、この脅威を手動でも駆除することができます。

以下の手順は、Symantec AntiVrusおよびNorton AntiVirus製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

• W32.Blaster.B.Worm は、DCOM RPCの脆弱性を利用します。詳細につきましては、マイクロソフト セキュリティ情報MS03-026を参照して下さい（そこから修正パッチをダウンロードすることができます）。修正パッチは、必ずダウンロードし、インストールするようにして下さい。ワームの駆除を始める前に、必ず修正パッチのインストール作業から始めて下さい。以下の駆除方法を利用して感染を防ぐ、あるいは取り除けない場合は、まずは修正パッチをダウンロードし、インストールしてください。
  
• ワームがコンピュータをシャットダウンさせる前に、ワームの活動によって、インターネットに接続すること、修正パッチや定義ファイル、そして駆除ツールをダウンロードすることができなくなる可能性があります。この状態を回避する方法は、現時点で2通り分かっています。しかし、どちらの方法とも、100%確実な方法ではありません。
  
  • Windows XPをお使いの場合、Windows XPのファイアウォール機能をアクティブにすることで、修正パッチのダウンロードからインストール、ウイルス定義ファイルの取得、および駆除ツールの実行ができるとの報告を受けています。これは、他のファイアウォールをお使いの場合でも機能する方法といえますが、確証はありません。
    
  • Windows 2000/XPでは、多くの場合、リモートコントロールプロシジャ（RPC）サービスの設定を変更することで、コンピュータをシャットダウンさせることなく、インターネットへの接続を可能とします。次の手順を踏んでください:
    
    
    1. 次のいずれかを実行してください:
       
       • Windows 2000の場合: デスクトップ画面上のマイコンピュータのアイコンを右クリック、"管理"をクリックします。"コンピュータの管理"というウィンドウが開きます。
         
       • Windows XPの場合: スタートボタンをクリックし、マイコンピュータのアイコンを右クリック、"管理"をクリックします。"コンピュータの管理"というウィンドウが開きます。
         
         
    2. 左側の画面で、"サービスとアプリケーション"をダブルクリックし、次に"サービス"を選択します。サービスの一覧が右側画面に表示されます。
       
    3. 右側の画面で、"Remote Procedure Call (RPC)" を探します。
       
       注意："Remote Procedure Call (RPC) Locator"というサービスがありますが、これら2つのサービスは異なりますので、混同しないでください。
       
       
    4. "Remote Procedure Call (RPC)"を選択後、右クリックし、プロパティを開きます。
       
    5. 回復タグをクリックします。
       
    6. ドロップダウンリストを使用し、「最初のエラー」、「次のエラー」、「その後のエラー」の値を"サービスを再起動する"に変更します。
       
    7. 適用をクリックし、次にOKをクリックします。
       
       注意：ワームの駆除後、これらの設定を必ず元に戻してください。
       

1. システムの復元機能を無効にします（Windows XPの場合）。
   
2. ウイルス定義を最新版に更新します。
   
3. 有害なプロセスを停止します。
   
4. システム全体のスキャンを実行し、W32.Blaster.B.Wormとして検出されたファイルをすべて削除します。
   
5. ワームによってレジストリに行われた変更を元に戻します。
   

• Windows XP のシステムの復元機能を有効/無効にする方法
  

• LiveUpdateを実行する方法。LiveUpdate^TMは、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdateを通じて配布されているウイルス定義ファイルは、Symantec Security Responseの完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TMサーバーにアップロードされます。この脅威に対応するウイルス定義がLiveUpdateを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
  
• Intelligent Updater^TMを使用してウイルス定義をダウンロードする方法。Intelligent Updater^TMを通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日〜金曜日）に随時、更新、アップロードされています。Intelligent Updater^TMによるウイルス定義ファイルは、Symantec Security ResponseのWebサイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義がIntelligent Updaterを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。
  
  Intelligent Updaterのウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。

有害なプロセスを停止するには:
1. Ctrl+Alt+Deleteキーを同時に押します。　
   
2. [タスクマネージャ]をクリックします。　
   
3. [プロセス]タブをクリックします。　
   
4. リスト最上部のイメージ名をダブルクリックしてプロセスをアルファベット順に並ベ替えます。　
   
5. リストをスクロールして、penis32.exeを探します。　
   
6. 該当するファイルを発見したら、それをクリックして[プロセスの終了]をクリックします。　
   
7. タスクマネージャを閉じます。
   

1. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする手順"をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
2. システム全体のスキャンを実行します。
   
3. W32.Blaster.B.Worm に感染しているファイルが検出されたら、[削除]をクリックします。
   

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。（[ファイル名を指定して実行]ダイアログボックスが表示されます。）
   
   
2. regeditと入力します。
   
   その後、[OK]をクリックします。（レジストリ エディタが開きます。）
   
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. 画面右側で次の値を削除します。
   
   "windows auto update"="penis32.exe"
   
   
5. レジストリエディタを終了します。
   
   
   

改編履歴：

2003年8月13日： ワームの別名を追加しました。