現在地 HOME > 掲示板 > ＩＴ１ > 833.html 　★阿修羅♪

次へ　前へ

------------------------------------------
最近のサーバ攻撃(1)

http://www.netpub.tsuzuki.yokohama.jp/j/server/serverroom.html

なんと半年ぶりの記載です。今回はＴＶのニュースでお騒がせのコンピュータ・ウィルス「BLSATER」のキラー・ウィルスとして間髪いれずに登場した「32.Welchia.Worm」について、その「危険性」について述べたいと思います。このワームはやたらにＰｉｎｇを送信するため、このウィルスが登場したとき、僕は何者かが「ＰｉｎｇによるＤｏＳ攻撃」をはじめたと勘違いしてしまいました。しかし、本日、新型ウィルスの発表記事を見て、この「Ｐｉｎｇ攻撃」が「新型ウィルスのスキャン」であることがわかりました。
（２００３／８／１９）

１．W32.Welchia.Wormは、どんなワームなのか？

このワームは「WindowsのRPCプロセスの脆弱性」を狙ったウィルス「BLSATER」に対抗したウィルスのようです。このウィルスはまずネットワーク上のマシンを把握するため多量のＰｉｎｇ又はＰｉｎｇ応答を送信するそうです。そして、その要求に応答を返したマシンがあった場合、そのマシンのTCPポート135番およびTCPポート80番に不正コードを送り込み、脆弱性があれば制御を奪います。

その後、Windowsのコマンド実行機能であるDllhost.exe、Svchost.exe（おそらく、トロイの木馬）を感染マシンから応答を返したマシンへｔｆｔｐでコピーします。そして、応答を返したマシンの「OSバージョン」、「サービスパックの番号」など調べ、マイクロソフトのWindows Updateのサイトに接続し、最適な修正プログラムをダウンロード、修正をあてます（ただし日本語版Windowsは対象外）。

以上の行為を繰り返し、このウィルスは西暦2004年になると自分で自分を消すということです。このような性質を持つウィルスですから、ウィルス「BLSATER」の撲滅に役立ちます。まさに、正義の味方「仮面ライダー」のようなウィルスです。

２．W32.Welchia.Wormは、人畜無害なのか？

このウィルス、「BLSATER」を撲滅したら、すぐ消滅すればよいのに。。そのまま居座り、他のマシンを「スキャン」する点に問題があります。スキャン行為となるＰｉｎｇを無差別に送信するため、回線に余分な負担がかかります。そして、このスキャンは「回線監視業務をしている人間」にとって迷惑この上ない「雑音」になります。これで、別の新種の凶悪なウィルスの発見を見落とすことになったら。。「このウィルスのＰｉｎｇがカモフラージュになって見落とした」と言われても仕方ないでしょう。そして、通信速度の遅い回線で多数のパソコンがこのようなウィルスに感染したとしたら、多量のＰｉｎｇにより回線がマヒすることは目に見えています。

また、「BLSATER」ウィルスの正式な修正作業を考えた場合、このウィルスが途中で入り込んでしまうと、このウィルスが入り込んだかどうかは回線の内容を見ないとわからないことになります。「BLSATER」ウィルスの正式な駆除を完了したのに、実は、「W32.Welchia.Worm 」が入り込んでいたという場合が出るでしょう。まさか、自分の管理しているマシンがＰｉｎｇを飛ばしまくっていたとしたら、このウィルスが「BLSATER」ウィルスを駆除したと言われても、うれしくないはずです。もっとも・・日本語版Windowsは修正をあててくれないそうですから、日本では、このウィルスに感染するぶん迷惑です。

３．本当の怖さは「バックドア」にある！

「バックドア（リモコン機能）」については、別のページでも取りあげていますが、感染したマシンを乗っ取るには最高の方法です。たとえ、このウィルスが２００４年に自己消滅するといっても、それまで３ヶ月以上の期間があります。

ウィルス作者でなく、別の悪意を持った者が「バックドア（リモコン機能）」を発見し、こっそり、それを利用したらどうでしょうか？そこから、お客様の情報を取り出す、もっと気の利いた「トロイの木馬」をインストールして、様々な情報を収集する。こうなると、「BLSATER」が撲滅できても、そのマシンは「あやつり人形としてコントロールしてくる者をすべて受け入れる」ということになります。こっちのほうが被害が大きくなり、まさに、ウィルス作者にとって予想もしなかった被害が、世界の各地で直接的・間接的に起こることになるでしょう。

特に、住民基本台帳ネットワーク、Ｅコマース（Ｅビジネス）に関係するマシンが感染した場合、そこにある重要な情報が危機にさらされることになります。また、そうでなくても、そのマシンは「踏み台」として利用され、次に攻略する別マシンの情報収集に利用されることになるでしょう。

以下のページも参考にすると意味がよくわかると思います。

「住民基本台帳ネットワークの本当の落し穴」
「（総務省）国民のための情報セキュリティサイトＱ＆Ａ集（６）」

-----------------------------------------

　次へ 　前へ

ＩＴ１掲示板へ

フォローアップ:

• 最近のサーバ攻撃 （２） 愚民党 2003/9/04 10:15:55 (4)
  • 最近のサーバ攻撃 （３） 愚民党 2003/9/04 10:23:45 (3)
    • 最近のサーバ攻撃 （４）意外な落とし穴。。それは「レンタルのＡＤＳＬモデム」でした。 愚民党 2003/9/04 10:28:44 (2)
      • 最近のサーバ攻撃 （５） 愚民党 2003/9/04 10:35:43 (1)
        • 最近のサーバ攻撃 （６）【１・２・３・４・５・６・著作-日本ネット雑誌研究所】 愚民党 2003/9/04 11:03:01 (0)

　

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。