製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovsan.worm.a
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4284
対応定義ファイル
(現在必要とされるバージョン)
4323 (現在7600)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名msblast.exe :tftp :W32.Blaster.Worm (Symantec) :W32/Lovsan.worm :Win32.Poza (CA) :WORM_MSBLAST.A (Trend)
情報掲載日03/08/12
発見日(米国日付)03/08/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2003年9月17日更新情報

デスクトップ型ファイアウオールがLovsan(MSブラスト)型ウイルスに有効なその理由

参考情報:
Lovsonウイルスを「特に手間暇かけることもなく気がついたら全自動で防げていた」というお客様の事例です。


2003年8月15日更新情報

マイクロソフトは、windowsupdate.comドメインに対するサービス拒否攻撃を防ぐために、windowsupdate.comへのDNSエントリーを削除しました。これはWindows Updateリンクをクリックした時に使われるアドレスではないため、この削除によってマイクロソフト修正プログラムが使えなくなることはありません。


2003年8月14日更新情報

・2つの新たな亜種が発見されました。4285ウイルス定義ファイルでこの亜種を検出できます。

teekids.exe (5,360 バイト) [W32/Lovsan.worm.bとして検出されます]
penis32.exe (7,200 バイト) [Exploit-DcomRpcとして検出されます]

機能的にはW32/Lovsan.wormのオリジナルと同様です。


2003年8月13日更新情報

・「ウイルス絵とき理解」にW32/Lovsan.wormを追加しました。詳細はこちら

・このワームは、4283DATと4.1.60エンジンでExploit-DcomRpcの亜種として検出されます。この検出には圧縮された実行ファイルのスキャンが可能であることが必要です(VirusScan 7はこのオプションを無効にできますが、デフォルト時には有効になっています。)

・このワームはMS03-026の脆弱性を悪用し、可能な限りのマシンに繁殖しようとします。ウィンドウズのセキュリティホールを利用することで、ユーザ側のアクションがなくてもワームの実行を可能とします。また、リモートアクセスポイントを作成し、アタッカーがシステムコマンドを実行する事を許可します。

・ワームが起動すると、TCPポート135上のシステム脆弱性を探すためのIPをランダムにスキャンします。ワームはTCPポート4444上にリモートシェルを作成するために、発見されたシステム上のDCOM RPCの脆弱性を利用しようとします。そしてワームを%WinDir%\system32 ディレクトリにダウンロードするためにTFTPコマンドをパスし、実行します。(ターゲットとなったシステムは、感染したホストシステム[ポート69 TFTP UDP ]からワームをダウンロードするためのTFTPコマンドを発行します。)

・起動すると、以下のいずれかのレジストリキーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe

自動的に実行・感染するのは、Windows2000/XPだけです。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・異常なTFTPファイルが存在する

・ウィンドウズシステム32ディレクトリ内にmsblast.exeファイルが存在する。

・(システムを再起動したために)RPCサービスに失敗したことに関するエラーメッセージがでる。

・ワームはランダムに20の連続するTCPポートを、監視するために開けます。これはコンスタントにポートの範囲を変えます。(例:2500-2520, 2501-2521, 2502-2522) このアクションの目的は不明です。

感染方法TOPへ戻る

・このワームは、マイクロソフトウィンドウズにおける最新の脆弱性を利用して繁殖します。ポート135上のIPアドレスを、範囲をランダムに選択してスキャンし、発見されたシステムがターゲットになります。悪用されるコードはシステムに送られ、リモートシステムからTFTP経由でMSBLAST.EXEファイルをダウンロード・実行するように命令します。

・ワームは、8月16日以後にwindowsupdate.com に対してサービス拒否攻撃を実行するためのペイロードを内包しています。このペイロードは、ユーザがシステムにウィンドウズから修正プログラムをダウンロードして適用することを防ぐために、SYNパケットをTCPポート80上のwindowsupdate.com に送信します。送信元のIPアドレスは、ランダムなローカルのBディレクトリIPを使用して毎回偽装されます。

・最新のウイルス対策ソフトウェアがあるコンピュータは、ダウンロード中にワームの実行ファイル(msblast.exe) を検知し、マシンがW32/Lovsanウイルスのホストマシンになることを防ぎます。

・しかし、マイクロソフト修正プログラム(MS03-026)を当てていないシステムは、感染したホストマシンからバッファオーバーフロー攻撃をうける可能性があります。msblast.exeファイルが起動中の感染マシンは、ローカルサブネットからポート135で起動中のRPCサービスへ異常なパケットを送信します。このような現象は、実際にワームがマシン上に存在しなくても発生する可能性があります。これはリモートシェルが依然としてTCPポート4444に作成されているためで、異常な悪性コードを受け取ることで突然クラッシュする可能性があります。

・その他に、以下のような症状がでることがあります。

  • ・カットアンドペーストができない
  • ・アイコンの移動ができない
  • ・アプリケーションの追加と削除のリストが空である
  • ・マイクロソフトオフィスのほとんどのプログラムでダウンロードエラーが発生する
  • ・マシンのスピードが遅くなる、レスポンスが悪くなる

・MS03-026 マイクロソフト修正プログラムを適用することで、RPCサービスが落ちることを防ぎ、順次これらの症状を解決します。マイクロソフト修正プログラムをインストールした後は、必ず再起動して下さい。そうすることで、マシンは最新のウイルス定義ファイル・エンジン・コンフィグにアップデートし、msblast.exeを抽出するためにオンデマンドスキャンを起動します。msblast.exeが存在する場合、あらゆる上記のような症状はRPCの脆弱性に関連しており、必ずしもW32/Lovsan ウイルスがローカルで起動している必要はありません。Msblast.exeローカルマシン上にはまったく存在していないことも考えられます。

駆除方法TOPへ戻る

■このウイルスを駆除するためにはマイクロソフト修正プログラムを、先に適用することが必要です。ご使用のシステムがこの脆弱性の危険にさらされていないかを確認してください。

・ 感染マシンからウイルスを駆除する前に、マイクロソフト修正プログラムを適用してください。クラッシュループに陥ったシステムは、再起動されるたびにSVCHOST.EXEがクラッシュし、60秒後にシステムの再起動を開始します。修正プログラムが適用される前にウイルスを削除すると、この動きが引き続き見られることがあります。


■駆除ツール・参考資料
03/08/15 このウイルスの検索、駆除にStingerを発行しました 駆除ツールへ
03/08/15 ご法人のウイルス対策担当者様に社内対策用の手順マニュアルをご用意しました 詳細はこちら
03/08/21
(更新)
Snifferフィルタ(Sniffer Portable 4.7/4.7.5)を公開しました ダウンロードはこちら
(ZIPファイル)
03/08/21
(更新)
Snifferフィルタ(Sniffer Distributed4.1用/4.2用)を公開しました ダウンロードはこちら
(ZIPファイル)
03/08/14 企業向けLovsan予防対策を説明したドキュメントを公開しました ダウンロードはこちら
(Wordファイル)
03/08/14 簡易対処方法を説明したPDFファイルを作成しました。ダウンロードはこちら
(PDFファイル)


■手動による駆除方法
手動により、このウイルスを駆除する場合は以下の方法をとってください。

  1. マイクロソフト修正プログラムMS03-026を適用する。
  2. 実行中のmsblast.exeを終了する。(終了の仕方はこちら
  3. システムのWINDOWS SYSTEM32ディレクトリ(多くはc:\windows\system32かc:\winnt\system32) からmsblast.exeファイルを削除する。
  4. レジストリを編集する。
    "windows auto update"という値を
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    から削除する。

検出と駆除には定義ファイル4284をお使いください。定義ファイル4283を使うとExploit-DcomRpcの亜種として検出されます。感染したシステムはウイルスを駆除する前に修正プログラムを適用してください。(下記参照)

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足


( 本ウイルスはWindows MEには影響を与えません)