プラグアンドプレイの脆弱性を狙った『Zotob』ワームが発生

この記事のURLhttp://japan.internet.com/webtech/20050816/11.html

Microsoft 製品のユーザーで、セキュリティ更新のダウンロードを頻繁に行なっていない人は要注意だ。同社が先ごろ公開した更新プログラム未適用のコンピュータを狙ったワーム、『Zotob.B』が今週末に発見された。

セキュリティ会社 Trend Micro は同ワームについて、危険度は低いと評価しているが、感染した場合の被害の大きさと感染率の高さは、インターネットユーザーにとって十分な脅威となり得る。

Zotob.B は、Microsoft が8月の月例セキュリティ更新で対応したプラグアンドプレイの脆弱性を狙ったワームで、『Zotob.A』の亜種と考えられる。Zotob.A も同じく今週末に発見されたワームだ。脆弱性を突いて感染し、自身をシステムにインストールするなど、基本的な活動は Zotob.B と同じだが、Zotob.A が、Windows のシステムフォルダ内に「BOTZOR.exe」というファイル名で自身のコピーを作成するのに対し、Zotob.B は「CSM.exe」というファイルを用いてコピーを作る。

Trend Micro によると、両ワームの影響を受けるのは、『Windows 98』『Windows ME』『Windows NT』『Windows 2000』『Windows XP』『Windows Server 2003』の各システムという。Microsoft は9日に月例セキュリティ更新を発表し、個別セキュリティ情報『MS05-039』において、両ワームが悪用する脆弱性を修正している。

ところが、セキュリティ情報の公開直後から、同脆弱性を狙った悪質プログラムが複数のクラックサイトに出回りはじめた。

両ワームは感染後、次の感染先を探すために、プライベート IP アドレスをランダムに生成してポート445番が開いていないかスキャンを行なう。またポート33333番を開いて FTP サーバーセッションも開始する。問題の脆弱性を修正していないマシンを見つけると、同脆弱性を悪用して FTP スクリプトを実行させ、感染元のマシンから次の標的に FTP 経由で自身のコピーである「HAHA.exe」をダウンロード、実行させる。新たに感染したマシンでも同様のことを繰り返す。

そのほか、感染したパソコンにバックドアを仕掛ける活動も報告されており、Zotob.B ではランダムポートを開いて IRC サーバーにアクセスし、外部の悪意あるユーザーからの指令を待ち受けるという。