W32.Blaster.F.Worm はTCPポート 135を使ってDCOM RPCの脆弱性(マイクロソフト セキュリティ情報MS03-026を参照)を悪用するワームです。このワームは、Windows 2000 と Windows XP のみを標的とします。Windows NT、Windows 2003 Serverにも、（修正パッチを適用していない場合は）DCOM RPCの脆弱性が存在しますが、これらのOSに対して複製するようには設計されていません。このワームはEnbiei.exeというファイルを、%WinDir%\system32 ディレクトリにダウンロードし、実行しようとします。大量のメールを送信する機能はありません。

W32.Blaster.F.Wormには、大量のメールを送信する機能はありません。

詳しくは、マイクロソフトのアーティクル "Blaster ワームへの対策 - Windows XP、"Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編"をご覧ください。

感染を予防するために、TCPポート4444へのアクセスをファイアウォール・レベルでブロックしてください。以下のアプリケーションを使用していない場合は、次の該当するポートもブロックしてください。

• TCP Port 135, "DCOM RPC"
  
• UDP Port 69, "TFTP"
  

種別: ワーム

感染サイズ: 11,808 バイト

影響を受けるシステム: Windows 2000, Windows XP

影響を受けないシステム: Linux, Macintosh, OS/2, UNIX

CVE識別番号: CAN-2003-0352

対応日(Intelligent Updater)* 2003/09/02(米国時間) 対応日(Live UpdateTM)** 2003/09/03(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 低 ダメージ: 中 感染力: 高

ダメージ

• 発症のタイミング: 日付が8月以前の場合は16日から月末、8月16日-12月31日の場合は毎日
  
• 発病症状: tuiasi.roにサービス拒否攻撃を仕掛ける
  
  • システムの不安定化: コンピュータが異常終了する可能性がある
    
  • 不正アクセス: 非表示のリモートシェルcmd.exeを開く
    

感染力

• ポート: TCP 135, TCP 4444, UDP 69
  
• 感染対象: 修正プログラムが未適用のDCOM RPC サービスを実行しているコンピュータ
  

W32.Blaster.F.Worm が実行されると、次のことを行います。

1. コンピュータが既に感染しているのか、そしてそのコンピュータ上でワームが動作しているのかをチェックします。もし既に感染しており、ワームが動作している場合、何もしません。
   
   
2. 次の値を
   
   "www.hidro.4t.com"="enbiei.exe"
   
   次のレジストリキーに追加することによって、
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   Windowsの起動時に必ずワームが実行されるように設定します。
   
   
3. IPアドレスを生成し、そのアドレスのコンピュータに感染を試みます。IPアドレスは次のアルゴリズムに基づいて生成されます。
   
   • 40%の確率で、 A.B.C.0の形式のIPアドレスが生成されます。A.B.は、感染元となるコンピュータのIPアドレスの先頭2つの値と同じです。
     
     Cは、感染元となるシステムのIPアドレスの3番目の値に基づいて計算されます。ワームは、40%の確率でCの値が20よりも大きいかどうかを確認します。20より大きい場合は、Cの値から20未満のランダムな値を差し引いた値を使用します。IPアドレスの計算が終わると、ワームは算出されたIPアドレス(A.B.C.0)に該当するコンピュータを探して感染しようとします。
     
     その後、上記で計算したIPアドレスの0の部分に1を加え、そのアドレスに該当する他のコンピュータを探して攻撃しようとします。この操作をIPアドレスの0の部分が254に達するまで繰り返し行います。
     
     
   • 60%の確率で、完全にランダムなIPアドレスを使用します。
     
     
4. DCOM RPCの脆弱性を悪用することのできるTCPポート 135にデータを送信します。このワームは、Windows XP攻撃用とWindows 2000攻撃用の2通りのデータのうちいずれか一方を送信します。
   
   Windows XPデータが送信される確率は80%、Windows 2000データが送信される確率は20%です。
   
   注意:
   • これは、ローカルサブネットが、TCPポート 135への要求で飽和状態になることを意味します。
     
   • W32.Blaster.F.Wormは、Windows NT、Windows 2003 にまで感染を広げる能力はありませんが、修正パッチを適用していない場合、ワームが脆弱性の利用を試みた結果として、これらのOSを異常終了させてしまう可能性があります。また、このワームをWindows NT、Windows 2003 上に手動で置き、実行することで、実行・拡散します。
     
   • 攻撃データの組み立て手法がランダムなため、送信されるデータが不適切なものであった場合、コンピュータが異常終了することがあります。不適切なデータが送信された結果、svchost.exeがエラーを生成することにより、（不適切なデータが送信されたことが）明らかになることがあります。
     
   • RPCサービスがクラッシュした場合、Windows XPやWindows 2003サーバでは、まず最初にコンピュータを再起動します。この機能を無効にするためには、後述の駆除方法セクションのステップ1を参照してください。
     
     
5. TCP ポート 4444で待機するリモートシェルCmd.exeを作成します。そのCmd.exeには隠しファイル属性が設定されています。 これにより、攻撃者は、感染したシステムに対してリモートコマンドを発行することができます。
   
   
6. UDP ポート 69で接続を待機します。DCOM RPCの脆弱性を利用して接続することができたコンピュータからの接続要求を受信すると、そのコンピュータに対しEnbiei.exeを送信し、ワームを実行するためのコマンドを送信します。
   
   
7. このワームは現在の日付の「月」が1月-8月の場合はその月の16日から月末まで、9月-12月の場合は毎日発病し、tuiasi.roというwebサイトにサービス拒否(DoS)攻撃を仕掛けようとします。しかし、このワームがDoS攻撃に成功するのは以下の状況を満たした場合に限ります。
   • 発症期間中に感染した、あるいは、再起動されたWindows XP上でワームが動作している場合。
     
   • 発症期間中に感染し、感染後一度も再起動されていないWindows 2000上でワームが動作している場合。
     
   • 発症期間中に感染し、感染後に再起動されたWindows 2000上でワームが動作しており、かつ、そのコンピュータに現在ログインしているユーザが管理者権限を持っている場合。
     
     
8. DoS トラフィックには、次の特徴があります。 　
   
   • tuiasi.roのポート80でSYN flood状態。
     
   • HTTPパケットを毎秒50個ずつ送信しようとする。　
     
   • 各パケットのサイズは40バイト。
     
   • tuiasi.roのエントリがDNS上に見つからない場合、宛先アドレスに255.255.255.255を使用する。
     
     
   このDoSトラフィックに固有のTCPとIPヘッダーの特徴は以下の通りです。 　
   
   • IP identification = 256
     
   • Time to Live = 128
     
   • Source IP address = a.b.x.y( a.b はホストIPの先頭2つの値、x.yはランダムな値。a.bもランダムな値の場合もあります。）　
     
   • Destination IP address = "tuiasi.ro"のdns変換値。　
     
   • TCP Source port = 1000 - 1999
     
   • TCP Destination port = 80
     
   • TCP Sequence number = 下位バイト2つは常に0に設定されている。上位バイト2つはランダム。　
     
   • TCP Window size = 16384
     

• tuiasi.roを特定の社内IPアドレスに再ルーティングしてください。これにより、syn flood攻撃を検知するサーバーを有する場合、感染したコンピュータに警告が通知されます。
  
• ルータに詐称対策（アンチスプーフィング）ルールを設定してください。これにより、大半のパケットがネットワークの外部に送信されることを阻止することができます。uRPFまたは送出側のACLを使用すると効果的です。
  

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

以下の手順は、Symantec AntiVirusおよびNorton AntiVirus製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

• W32.Blaster.F.Worm は、DCOM RPCの脆弱性を利用します。詳細につきましては、マイクロソフト セキュリティ情報MS03-026を参照して下さい（そこから修正パッチをダウンロードすることができます）。修正パッチは、必ずダウンロードし、インストールするようにして下さい。ワームの駆除を始める前に、必ず修正パッチのインストール作業から始めて下さい。以下の駆除方法を利用して感染を防ぐ、あるいは取り除けない場合は、まずは修正パッチをダウンロードし、インストールしてください。
  
  
• このワームに感染した場合、ワームがコンピュータをシャットダウンさせる前に、インターネットに接続すること、修正パッチや定義ファイル、そして駆除ツールをダウンロードすることができなくなる可能性があります。この問題を回避する方法は2通りありますが、いずれの場合も必ず成功する確証はありません。
  
  • Windows XPをお使いの場合、Windows XPのファイアウォール機能をアクティブにすることで、修正パッチのダウンロードとインストール、ウイルス定義ファイルの取得、および駆除ツールの実行ができるとの報告を受けています。これは他のファイアウォールを使用した場合でも可能と思われますが、確認は取れていません。
    
    
  • Windows 2000、XPのどちらをお使いの場合でも、Remote Procedure Call(RPC)サービスの設定を変更することで、コンピュータをシャットダウンさせることなくインターネットに接続することができます。
    
    　　 Remote Procedure Call(RPC)サービスの設定を変更する方法：
    
    1. お使いのOSに応じて、次のいずれかを実行してください。
       
       • Windows 2000: [マイコンピュータ]アイコンを右クリックし、[管理]をクリックします。[コンピュータの管理]ウィンドウが開きます。
         
       • Windows XP: [スタート]ボタンをクリックし、[マイコンピュータ]アイコンを右クリックし、[管理]をクリックします。[コンピュータの管理]ウィンドウが開きます。
         
         
    2. 画面左側で、[サービスとアプリケーション]をダブルクリックし、[サービス]を選択します。画面右側にサービスの一覧が表示されます。
       
    3. 画面右側で、"Remote Procedure Call (RPC)"というサービスを探します。
       
       注意："Remote Procedure Call (RPC) Locator"というサービスがありますが、これら2つのサービスは異なります。
       
       
    4. "Remote Procedure Call (RPC)"を選択後、右クリックし、[プロパティ]をクリックします。
       
       
    5. [回復]タブをクリックします。
       
    6. ドロップダウンリストを使用し、[最初のエラー]、[次のエラー]、[その後のエラー]の値を"サービスを再起動する"に変更します。
       
    7. [適用]をクリックし、次に[OK]をクリックします。
       
       注意：ワームの駆除後、これらの設定は必ず元に戻してください。
       

1. システムの復元機能を無効にします（Windows XPの場合）。
   
2. ウイルス定義を最新版に更新します。
   
3. ワームのプロセスを停止します。
   
4. システム全体のスキャンを実行し、W32.Blaster.F.Wormとして検出されたファイルをすべて削除します。
   
5. レジストリに行われた変更を元に戻します。
   

• Windows XP のシステムの復元機能を有効/無効にする方法
  

• LiveUpdateを実行する方法。LiveUpdate^TMは、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdateを通じて配布されているウイルス定義ファイルは、Symantec Security Responseの完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TMサーバーにアップロードされます。この脅威に対応するウイルス定義がLiveUpdateを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
  
• Intelligent Updater^TMを使用してウイルス定義をダウンロードする方法。Intelligent Updater^TMを通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日〜金曜日）に随時、更新、アップロードされています。Intelligent Updater^TMによるウイルス定義ファイルは、Symantec Security ResponseのWebサイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義がIntelligent Updaterを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。
  
  Intelligent Updaterのウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。
  

ワームのプロセスを停止させるには:

1. Ctrl+Alt+Deleteキーを同時に押します。　
   
2. [タスクマネージャ]をクリックします。　
   
3. [プロセス]タブをクリックします。　
   
4. リスト最上部のイメージ名をダブルクリックしてプロセスをアルファベット順に並ベ替えます。
   
5. リストをスクロールし、Enbiei.exeを探します。
   
6. 該当するファイルを発見したら、それをクリックして[プロセスの終了]をクリックします。
   
7. タスクマネージャを閉じます。
   

1. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする手順"をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
2. システム全体のスキャンを実行します。
   
3. W32.Blaster.F.Wormに感染しているファイルが検出されたら、[削除]をクリックします。
   

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。（[ファイル名を指定して実行]ダイアログボックスが表示されます。）
   
   
2. regeditと入力します。
   
   その後、[OK]をクリックします。（レジストリ エディタが開きます。）
   
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. 画面右側で、次の値を削除します。
   
   "www.hidro.4t.com"="enbiei.exe"
   
   
5. レジストリエディタを終了します。