【警告】Blasterワーム続報

Wed, 13 Aug 2003 00:00:00 +0900

いよいよW32.Blaster.Wormが猛威を揮い始めた。JPCERTからも緊急注意が出されたし、19時のNHKニュースでもトップ扱いだ。

正常なnetstat結果。DCOMを無効にしたからといって135/tcpを閉じてしまうわけではないが、もし：4444があったら感染の可能性大

今後注意しなければならないのは、慌ててWindows Updateしようと無防備の状態でインターネット接続し、攻撃を受けて更新する前に感染してしまう事。

つまりミイラ獲りがミイラにならないように、まずはインターネットに接続せずに対策をとるという事が肝心だ。

そういうわけでオフライン環境でも可能なMS03-026対策としては「DCOMを無効にする」という方法がある。

DCOMを無効にする事によってActive Directoryなどに悪影響が出ると言われているが、アプリケーションの動作に問題が出るようならば修正プログラムの適用後にDCOMを有効に戻せば良いし、あまり影響無いホームユーザーには永続的に無効にする事をオススメしたい。

手順は小島さん＠龍谷大とこの「DCOMを無効にする方法」が詳しいので参考に。またWindows 2000 Serverは「管理ツール」→「コンポーネントサービス」からWindows XPと同じ方法で無効にできるそうだ。

但しSP2以前のWindows 2000では「DCOM が無効になっていてもリモートクライアントが COM サーバーを起動できる」という問題もあるので、油断は禁物だ。

ワームがWindowsを終了あるいは再起動させるというウワサもあるが、ワームが外部への攻撃・感染動作を始める事によってWindowsが異常終了するのではないかという話しもあって、真偽のほどは定かではない。

ちなみにインターネット全体のトラヒック(混雑状況)を示すInternet Storm Center(ISC)のステータスはすでにyellow cautionで135/tcpパケットも赤丸急上昇なのだが、bravotouring.com では全く検出していない。coara でブロックしてくれてるのかな？

14日0時現在、早くもWindows Updateダメっぽいぞ!?

【参照】
●Internet Watch
　-爆発的流行の兆し？　Blasterウイルス対策マニュアル 2003年8月13日
●日経IT Pro
　-Windowsのセキュリティ・ホールを狙うワーム，国内でも感染を拡大中 2003年8月13日
　-なぜWindowsが再起動させられるのか？――「Blaster」ワームの謎を解く 2003年8月13日

<br/>●<a href="http://www.st.ryukoku.ac.jp/~kjm/" target="SubWindow">小島さん＠龍谷大</a>

　-「DCOMを無効にする方法」

●JPCERT 緊急報告
　-TCP 135番ポートへのスキャンの増加に関する注意喚起 2003年8月13日

<br/>●<a href="http://www.microsoft.com/japan/technet/security/" target="SubWindow">マイクロソフトTechNetセキュリティセンター</a>

　-Blaster に関する情報 (8/12 公開)
　-マイクロソフトサポート技術情報 - 289116「DCOM が無効になっていてもリモートクライアントが COM サーバーを起動できる」

2003/08/13 on Yano's digital garage

【警告】Blasterワーム続報