9日長浜将軍@長浜、旭軒@博多、ゆ〜YOU@原鶴、宝来軒@甘木。10日ヒカリ@佐世保、江山楼@長崎、九紋龍@太宰府にて終了。
[一語一絵/IT系]
【注意】Deloderワーム発生 / 2003-03-10 (月)
週末からウィルス(ワーム)「Deloder」が流行の兆しを見せている。
 |
| 3/9 自宅にて |
このワームはネットワークから445/tcpポートを通じAdministratorとしてログインし、裏口となるプログラムをPCに送り込む。そうなると侵入されたPCは攻撃者の意のままに外部から操られてしまうようになってしまうのだ。
ちなみに445/tcpは「Direct Hosting of SMB」というプロトコルで、Windows 2000以降では従来の139/tcp「NetBIOS over TCP/IP (NBT)」に代わって使われるようになった。そういう意味ではWindows NT4,9x,Me等では危険性はまず無い。
…と書くと「ルーターやファイアーウォールなどで445/tcpポートを閉じてて直接外部から侵入される事は無いので大丈夫」と思うかもしれないが、モバイルPCなど外部で感染したマシンがLANに接続されてしまった場合には蔓延してしまう可能性があるので、特に企業ユーザーでは個々のPCでもしっかりした対策を施す必要がある。
既にウィルス対策ソフトベンダー各社からは対応したウイルス定義ファイルがリリースされているので、何はともあれ速やかに最新版にアップデートする事を強くオススメする。
但しウィルス対策ソフトを最新版にすれば万全と言う事では決して無い。ウィルススキャン系のソフトでは裏口となるプログラムをファイルとして送り込まれない限り検出されない為、Slammerのようにファイルを作成せずに攻撃を行う新種が派生した場合には防ぐ事ができない事が予想される。そういう意味も含めて基本的にはログインできないようにする事がベスト。ちなみにこのワームはログイン時に“000000” “administrator” “password”など予め攻撃者が用意した約70種のパスワードでログインを試みるという事がわかっているので、複数の単語を組み合わせたパスワードを設定しておけば侵入される危険性はかなり低くなる。
特にWindows XP Home Editionの既定ではAdministratorのパスワードが設定されていない為に簡単に侵入を許す危険性が高いので、ユーザーは一刻も早くパスワードの設定を行うべきだ。
参考まで最もオススメする対処としては、スーパーユーザーのアカウントをAdministrator以外の名前に変更するという事が望ましい。全くもって転ばぬ先の杖、備えあれば憂いなし、と言う事。昔の人はいい事を言うなぁ。
参照
●Internet Watch
-TCPポート445番をスキャンするトロイの木馬型ウイルス「DELODER」
●Symantec
-W32.HLLW.Deloder
●トレンドマイクロ
-WORM_DELODER.A
●port139
-Windows 2000 セキュリティ チェックポイント(3) Administrator, Guest の名前を変更する
●マイクロソフト サポート オンライン
-Q204279: Direct Hosting of SMB Over TCP/IP
