https://www.bravotouring.com/~yano/archives/2003/03/10/ Recent content in 2003/03/10 on Yano's digital garage Hugo en-us Mon, 10 Mar 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20030310.htm Mon, 10 Mar 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20030310.htm <p>週末からウィルス(ワーム)<span class="Virus">「Deloder」</span>が流行の兆しを見せている。</p> <table align="right" class="Landscape"> <tr> <td><img alt="自宅から観た虹" src="https://www.bravotouring.com/~yano/images/2003/030309.jpg"/></td> </tr> <tr> <td class="PhotoMemo">3/9 <span class="Point">自宅</span>にて</td> </tr> </table> <p>このワームはネットワークから<span class="Strong">445/tcp</span>ポートを通じ<span class="Strong">Administrator</span>としてログインし、裏口となるプログラムをPCに送り込む。そうなると侵入されたPCは攻撃者の意のままに外部から操られてしまうようになってしまうのだ。</p> <p class="Note">ちなみに<span class="Strong">445/tcp</span>は「Direct Hosting of SMB」というプロトコルで、Windows 2000以降では従来の<span class="Strong">139/tcp</span>「NetBIOS over TCP/IP (NBT)」に代わって使われるようになった。そういう意味ではWindows NT4,9x,Me等では危険性はまず無い。</p> <p>…と書くと<span class="Strong">「ルーターやファイアーウォールなどで445/tcpポートを閉じてて直接外部から侵入される事は無いので大丈夫」</span>と思うかもしれないが、モバイルPCなど外部で感染したマシンがLANに接続されてしまった場合には蔓延してしまう可能性があるので、特に企業ユーザーでは個々のPCでもしっかりした対策を施す必要がある。</p> <p>既にウィルス対策ソフトベンダー各社からは対応した<span class="Topics">ウイルス定義ファイル</span>がリリースされているので、何はともあれ速やかに<span class="Topics">最新版にアップデート</span>する事を強くオススメする。</p> <p>但しウィルス対策ソフトを最新版にすれば万全と言う事では決して無い。ウィルススキャン系のソフトでは裏口となるプログラムをファイルとして送り込まれない限り検出されない為、Slammerのようにファイルを作成せずに攻撃を行う新種が派生した場合には防ぐ事ができない事が予想される。そういう意味も含めて基本的にはログインできないようにする事がベスト。ちなみにこのワームはログイン時に“000000” “administrator” “password”など予め攻撃者が用意した約70種のパスワードでログインを試みるという事がわかっているので、複数の単語を組み合わせたパスワードを設定しておけば侵入される危険性はかなり低くなる。</p> <p>特に<span class="Tradename">Windows XP Home Edition</span>の既定では<span class="Strong">Administrator</span>の<span class="Emergency">パスワードが設定されていない</span>為に<span class="Serious">簡単に侵入を許す危険性が高い</span>ので、ユーザーは<span class="Serious">一刻も早く</span>パスワードの設定を行うべきだ。</p> <p>参考まで最もオススメする対処としては、スーパーユーザーのアカウントを<span class="Strong">Administrator</span>以外の名前に変更するという事が望ましい。全くもって転ばぬ先の杖、備えあれば憂いなし、と言う事。昔の人はいい事を言うなぁ。</p> <p class="Reference">参照 <br/>●<a href="http://internet.watch.impress.co.jp/" target="SubWindow">Internet Watch</a> <br/>　-<a href="http://internet.watch.impress.co.jp/www/article/2003/0310/deloder.htm" target="SubWindow">TCPポート445番をスキャンするトロイの木馬型ウイルス「DELODER」</a> <br/>●<a href="http://www.symantec.co.jp/" target="SubWindow">Symantec</a> <br/>　-<a href="http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.deloder.html" target="SubWindow">W32.HLLW.Deloder</a> <br/>●<a href="http://www.trendmicro.co.jp/" target="SubWindow">トレンドマイクロ</a> <br/>　-<a href="http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A" target="SubWindow">WORM_DELODER.A</a> <br/>●<a href="http://www.port139.co.jp/" target="SubWindow">port139</a> <br/>　-<a href="http://www.port139.co.jp/w2kpoint/w2ksec_point_3.htm" target="SubWindow">Windows 2000 セキュリティ チェックポイント(3) Administrator, Guest の名前を変更する</a> <br/>●<a href="http://support.microsoft.com/" target="SubWindow">マイクロソフト サポート オンライン</a> <br/>　-<a href="http://support.microsoft.com/default.aspx?scid=kb;en-us;Q204279" target="SubWindow">Q204279: Direct Hosting of SMB Over TCP/IP</a> </p> https://www.bravotouring.com/~yano/diary/20030310a.htm Mon, 10 Mar 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/20030310a.htm <p>9日長浜将軍＠長浜、旭軒＠博多、ゆ〜YOU＠原鶴、宝来軒＠甘木。10日ヒカリ＠佐世保、江山楼＠長崎、九紋龍＠太宰府にて終了。</p>