• 締切済み

MSBlaster関係

135番ポートから侵入するウイルスについて教えてください。 本ワームは Windows OS に対して、TCP135 ポート (Microsoft RPC) に対して MS03-026 の脆弱性を悪用した攻撃データを送信します。 MS03-026 の脆弱性の対策が行われていない Windows OS は、攻撃を受け "感染" 上記文章の135番のポートは、Win98、2000、NT、XP では普通は開かれているポートですか? TCP135 ポートから攻撃データを受信するとどうなるんですか? 上記文章では感染と書かれていますが、具体的に教えてください。

みんなの回答

noname#5179
noname#5179
回答No.3

>個人は"感染"の意味を誰も把握していないようだったし うーん、セキュリティ関連のページをすべて見ての判断でしょうか。 理解されている人は非常にたくさんいらっしゃいますよ。 たとえば、 小島 肇氏 http://www.st.ryukoku.ac.jp/~kjm/security/memo/ 高木浩光氏 http://d.hatena.ne.jp/HiromitsuTakagi/ その他セキュリティ関連のMLなどをあさるように読めば、わかると思いますが、、、 >攻撃方法や135番ポートのリモート操作を解説した >個人サイトがあれば教えてください。 攻撃のためのプログラムのソースは公開されています。さらに、日本語OSで動かすために必要なちょっとした改変方法も公開されています。(大手ニュースサイトからもリンクされていて、アンダーグラウンドではないサイトで。) ちょっとしたプログラムの知識と、コマンドラインの使い方さえわかっていれば、使えるレベルです。 DCOMで何ができるかは、日経BPのITProのページで解説されていたりもします。 具体的な方法や、ページを書くのは、やめておきます。 なぜなら悪いことに利用しようとして質問されている可能性が否定できないからです。 まずは、普通にOSや、セキュリティの勉強をすることを進めます。そうすれば、MS03-026の脆弱性や、攻撃方法なども自然とわかようになると思いますよ。

iyanarch
質問者

お礼

>具体的な方法や、ページを書くのは、やめておきます。 僕が見たサイトの情報はあなたの回答のように抽象的で、 詳細はリンク先任せです。 知ったように書かれていますが本当に知っているのか疑ってしまいます。

noname#5179
noname#5179
回答No.2

MS03-026の脆弱性を悪用した攻撃ですが、バッファオーバーフローを起こさせて、そのあとはシステムに対してフルアクセスができるようになります。 ですから、どんなことでも出来るようになるというのが答えになると思います。 MS-026を悪用するウイルスやワームは何種類もありますので、それらの行動については、Trendmicroや、NortonのWEBページのウイルス辞典を見てください。

iyanarch
質問者

お礼

>バッファオーバーフローを起こさせて >どんなことでも出来るようになる ありがとうございます。

noname#6461
noname#6461
回答No.1

参考URLに詳しい情報が出ております。 (初代ブラスターです。その他の亜種は下記から検索してみて下さい) http://www.symantec.com/region/jp/sarcj/vinfodb.html#threat_list >上記文章の135番のポートは、Win98、2000、NT、XP では普通は開かれているポートですか? MS03-026の脆弱性の影響を受けるのはNT系のWindowsだけです。 その中では、Windows98以外は全て該当します。 ポートは標準で開かれていますので、未適用の場合は 速やかに修正パッチをインストールする必要があるでしょう。 なお、MS03-026は既にMS03-039と置き換わっています。 (新たに3つのRPCセキュリティホールを修正) http://www.microsoft.com/japan/security/security_bulletins/MS03-039e.asp 新型ワームが登場するのも時間の問題ですので要注意です。 ファイアウォールを導入して不要な通信を遮断したり、 DCOMを無効化したりする事によってもブラスター感染を阻止できますが、 あくまで暫定的な処置で、基本は適切な修正パッチインストールです。 http://www.zdnet.co.jp/enterprise/0307/31/epn32.html

参考URL:
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html#technicaldetails
iyanarch
質問者

お礼

>ポートは標準で開かれています ありがとうございます。 "感染" については分かりませんか? 検索サイトで見つかるようなサイトはほとんど見たつもりですが、個人は"感染"の意味を誰も把握していないようだったし、symantecのような専門企業は"感染"のような抽象的な表現にとどめているようでした。 攻撃方法や135番ポートのリモート操作を解説した個人サイトがあれば教えてください。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • WORM_MSBLAST.Dの攻撃対象

    RPCのセキュリティホール(MS03-026)を悪用するWORM_MSBLAST.D の攻撃対象について教えてください。 Pingに応答があったPCに対して、感染元PCは攻撃を仕掛けるようですが、これは、ルータ越えも行うのでしょうか? 10.176.11.55(255.255.255.0)のパソコンが感染した場合、10.176.22.66(255.255.255.0)も攻撃対象になるのでしょうか? アドレス的には攻撃されそうですが、別セグメントの場合は、どうなるのでしょうか?  

  • Blast.exeの攻撃ポートについて

     Coregaのルーターのアクセス制限、CATVからのDHCPによるIP取得とWAN側から見えないLAN側IP、MSのパッチでBlast.exeをブロックしているのですが、MSサイトで説明されているTCP135、TCP137、TCP4444、UDP69、TCP443~445以外に、昨日からTCP17300、TCP33093、TCP593ポート攻撃に遭っているようです(ログに記載されます)。  今回のワームは、このようなポートも攻撃対象としているのでしょうか?  Blast(オリジナル)以外に、BlastB、BlastCという亜種も発見されているようですが。

  • W32.Blaster.Wormについて

    W32.Blaster.Wormについて少し疑問があります。 1.「W32.Blaster.Worm」に感染すると「Msblaster.exe」というのが動くそうですが、社内のPCを確認したところ「Msblaster.exe」は無いのですが、c:\winnt\system32\wins の中に2つファイルがありそれがウィルス対策ソフトに引っかかっていたので削除しました。この場合、このPCはウィルスに感染しているのでしょうか?「W32.Blaster.Worm」はいわゆる潜伏期間があってそのような状態になっているのでしょうか? 2.「W32.Blaster.Worm」対策としてMS-026やMS-007を当てるようにとありますが、これが適用されているかどうかというのは、Windows上で判断できるのでしょうか? 3.「W32.Blaster.Worm」に感染したPCは135のポートに攻撃をするそうですが、攻撃してくるPCを見つけるようなツール(フリー)のものはあるでしょうか? 以上、ご存知の方教えて下さい。

  • Webサイト閲覧での感染

    最近ではWebサイトを普通に閲覧しただけでも感染することがあることを知ったのですが、 脆弱性を悪用する攻撃を受けるとなぜウイルスに感染してしまうんですか?

  • ノートンアンチウィルスのワーム検出

    Windows Xp sp2でADSLという環境でノートンを入れて使っているのですが、ここ最近ノートンから定期的に 「 このコンピュータに対する侵入 「HTTP MS IIS NTLM ASN1 BO」 の試みを検出して遮断しました。 侵入者: ***.***.***.***(****). 危険度: 高 プロトコル: TCP 攻撃された IP: PCの名前(***.***.***.***). 攻撃された ポート: http(80) 」 と言われるようになりました。シマンテックの情報ページを見ましたが、セキュリティーホールを突いた攻撃なのか、それともワームが侵入しようとしているのか、はたまた自身がワームを持っているのか(内部からのアクセスには反応しないと思ったのでこれは無いと思いますが、)それさえ分かりません。侵入者のIPもポートも一貫性は無く、自身のIPが踏み台登録されている場合もありますが、されていなくとも警告が出ることがあります。 もう一つ質問するのもあつかましいのですが、シマンテックの情報ページをうまく見るコツのようなものがあれば教えていただけるとうれしいです。"MS" "IIS" "NTLM" "ASN1" "BO"にもそれぞれの単語に意味があると思うのですが、うまく見つけられません。

  • MSの"脆弱性"情報にある「一般公開」について

    例として挙げた下記のサイトに「Kerberos のセキュリティ機能のバイパスの脆弱性 – CVE-2016-3237」という記載があり、「一般公開」が「なし」となっています。この「一般公開」が「なし」とはどういう意味かご教示を頂けますでしょうか。 「一般公開」が「なし」とは脆弱性をつくような攻撃手法を一般公開していないため、「なし」になっていると思っていますが、違いますでしょうか。 「悪用」が「なし」は、攻撃者が脆弱性をついて悪用した報告はないため、「なし」となっているのはわかるのですが、「一般公開」についてはよく理解できていません。 --------------------------------------------------------------------------------------- マイクロソフト セキュリティ情報 MS16-101 - 重要 Windows 認証方式用のセキュリティ更新プログラム (3178465) https://technet.microsoft.com/ja-jp/library/security/ms16-101.aspx ---------------------------------------------------------------------------------------

  • スカイプ接続

    ここ最近ノートンから定期的に 「侵入の試みを検出して遮断しました。」がでます。 侵入 :HTTP MS IIS NTLM ASN1 BO 侵入者: ***.***.***.***(****). 危険度: 高レベル プロトコル: TCP 攻撃された IP: PC(***.***.***.***) 攻撃された ポート: http(80) OSは Windows Xp sp2でADSL 考えて見ると、「スカイプ」をインストールしてからです。 スカイプの設定の「接続」の項目に  使用ポート ○○○を着信の接続に使用する。 「□上記ポートの代わり、ポート80を使用する。」 にチェックが入っているからだと思いますが、このチェックは外しておいた方が良いのでしょうか?

  • Blasterワームに再感染してしまいました

    8月18日に Blasterワームに感染してしまい、MS03-026インストールとシマンテック社のツールでワーム駆除を実施しました。(この時点で、msblast.exe が存在しない事と、ISSの Scanmsツールで MS03-026が適用されたことを確認しています) ところが昨日、Blasterワームに再感染してしまいました。 これは、いったいどのような事が考えられるのでしょうか。 OS: Windows XP Professional SP1

  • 新しくWindowsをインストールする場合

    新しくWindowsをインストールする場合に WindowsUpdateを完了するまでにMSブラスト等に感染する 恐れがあると思うのですが、どうなのでしょうか? TCP/IPの設定でポートをフィルタリングしたので 大丈夫なのでしょうか? Windows2000だとフィルタリングする機能がありましたが 98だとないですよね。 こういう場合は・・・

  • ウイルス対策について

    OSやアプリケーションソフトの脆弱性を悪用する攻撃の場合はウイルス対策ソフトで防ぐのが難しいらしいです。何故でしょうか。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する