製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス名危険度
W32/Nachi.worm
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4286
対応定義ファイル
(現在必要とされるバージョン)
4299 (現在7401)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Welchia.worm(NAV):W32/Nachi!tftpd :WORM_MSBLAST.D(Trend)
情報掲載日03/08/19
発見日(米国日付)03/08/18
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2003年9月17日更新情報

デスクトップ型ファイアウオールがLovsan(MSブラスト)型ウイルスに有効なその理由

参考情報:
Nachiウイルスを「特に手間暇かけることもなく気がついたら全自動で防げていた」というお客様の事例です。
このウイルスはMS03-026の脆弱性を悪用するものです。このウイルスは、RPC DCOM脆弱性を悪用するほか、WebDavを介したNTDLL.DLL脆弱性MS03-007の悪用も試みます。

なおこのウイルスはW32/Lovsan.worm.d亜種とは無関係です。


このワームの意図

このワームは、マイクロソフトWindowsのセキュリティホールを悪用して繁殖します。遠隔地の標的マシンに対し、別の感染マシンからワーム自身をダウンロードして実行するように指示を出します。このワームが実行された場合、まずW32/Lovsan.worm.a(MSブラスター)プロセスを停止させ、さらに削除します。そしてマイクロソフトのパッチを適用して、そのマシンが同じセキュリティホールをこれ以上悪用されないようにします。システム時計が2004年1月1日を指すと同時に、このワームは実行時に自らを消去します。


インストール

以下の名称でミューテックスが作成されます。これは感染マシンの中のワーム・インスタンスを必ず一個にとどめるための挙動です。

RpcPatch_Mutex

このウイルスは自分自身をWINSディレクトリ内部にインストールします。

C:\WINNT\SYSTEM32\WINS\DLLHOST.EXE (10,240 バイト)

注:まったく同名の完全に正規のシステムファイルDLLHOST.EXEが存在することに気をつけてください。なお正規DLLHOST.EXEのバイト数は、5-6 KBに過ぎません。

このウイルスはTCP/IPのトリビアル・ファイル転送デーモン(TFTPD.EXE) バイナリを、感染マシンのdllcacheからWINSディレクトリにコピーしようとします。その際、ファイル名を以下のように変更します。

C:\WINNT\SYSTEM32\WINS\SVCHOST.EXE

注:TFTPD.EXE が感染標的マシンに存在していない場合は、このコピーは失敗します。TFTPD.EXEは、OS毎にデフォルトで存在する場合とそうでない場合があります。

以下のサービスがインストールされます。

  1. RpcPatch このワームのインストールコピー (DLLHOST.EXE) を実行するように設定されています (表示名:"WINS Client")

  2. RpcTftpdTFTPDアプリケーション(SVCHOST.EXE)のコピーを実行するように設定されています(表示名:"Network Connections Sharing")

パッチのダウンロード

このワームは、MS03-026脆弱性の修正パッチへのリンクを複数個持っています。

  • http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
  • http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe
  • http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
  • http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
  • http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe
  • http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe
  • http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
  • http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
このワームは、上記のパッチのうちのいずれかを感染マシンにダウンロードしようとします。


W32/Lovsan.worm.aの削除

このワームは、感染マシンの中のW32/Lovsan.worm.aを検索して、これを削除しようとします。MSBLAST.EXEがプロセスとして動作していた場合は、これを停止します。

注:なおMSBLAST.EXEが使っているレジストリフックは削除されません。


自分自身の削除

システム時計が2004年1月1日を指すと同時に、このワームは実行時に自らを消去します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • ネットワーク内のICMPトラフィックがあまりにも大量である。
  • 上記のワームファイルやWindowsサービスがシステム内に存在する。
  • 感染方法TOPへ戻る
    このワームはマイクロソフトWindowsの脆弱性を悪用して繁殖します。このワームは標的マシンのローカルサブネット(ポート135)をスキャンします。このウイルスは感染標的マシンにICMPピングを送り、返答に応じて、悪質データを送付します。感染マシンに接続したターゲットシステム上に、リモートシェルが666〜765の範囲内のランダムなTCPポートに作成されます。さらに感染マシンに、TFTPを通じてワームをダウンロードするよう、指令が送られます。

    ウイルス対策ソフトウエアを使用しているといないとに関わらず、MS03-026脆弱性の修正パッチが当っていないシステムは、依然として他の感染マシンからのバッファオーバーフロー攻撃を受けやすい状態です。感染マシンは、ローカルサブネットを介して、ポート135で走っているRPCサービスへとパケットを送付します。これらのパケットがパッチ未適用マシンで受信された場合、まずバッファオーバーフローが生じ、次にシステム内のRPCサービスが破壊されます。これらは、ワームが実際に感染標的マシンの中に存在しない状態でも発生します。

    MS03-026 をマシンに適用することにより、RPCサービスの失敗を防ぐことができます。なおパッチの適用後はマシンを再起動することが極めて重要です。

    WebDavを通してのMS03-007攻撃(port 80)に対して脆弱なWebサーバー (IIS 5) はこのウイルスの繁殖に対しても脆弱です。

    駆除方法TOPへ戻る
    マイクロソフト・パッチ

    ウイルス駆除に先立ち、まず修正パッチを当てること、これが極めて重要です。 マシンによっては、W32/Lovsan.wormの時と同様に、「クラッシュの悪循環」に嵌まってしまう場合があるからです。つまりシステムがひたすら再起動される度にSVCHOST.EXEがクラッシュし、ユーザーに残された時間は、次の再起動までのわずか60秒になってしまうということです。

    例えウイルスを駆除した場合でも、パッチ未適用マシンでは上記の悪循環が繰り返し発生する可能性があります。

    パッチのダウンロード、インストールに先立ち、ファイアウオールのインストールおよび設定が必要になる場合もあります。

    なお、マイクロソフト社により、ウイルスを駆除する際に取るべき行動が概説されています。この行動は、ウイルスを駆除するより先に行われるべきものです。


    定義ファイル
    現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。


    ウイルス駆除ツール

    Stinger駆除ツールを使えばこのウイルスを検出、駆除できます


    Snifferユーザーの皆様へ

    本Nachi用フィルタでLovesanの検出も行えます。(2003年8月21日更新)

  • Snifferフィルタ(Sniffer Portable 4.7/4.7.5用)(ZIPファイル)
  • Snifferフィルタ(Sniffer Distributed4.1用/4.2用)(ZIPファイル)
    このウイルスの手動駆除手順

    1. MS03-026パッチを適用する。

    2. 以下のサービスを停止する。
      1. WINS Client
      2. Network Connections Sharing

    3. DLLHOST.EXEおよびSVCHOST.EXEをWINSディレクトリから削除する。(例:c:\winnt\system32\wins\svchost.exeを削除する)

      要注意:DLLHOST.EXEというファイル名の正規ファイルがあります。これは絶対に削除してはいけません。

    4. レジストリを以下のとおりに編集する。

      - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicesから"RpcPatch"キーを削除する。

      - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicesから"RpcTftpd"キーを削除する。