ワーム Zotob に注意!
やっぱりと言うか、夏期休暇を狙ったワームが発生しましたね。
大型ウイルスが発生するのは、夏休みやゴールデンウィーク、年末年始等が多いです。
米国時間2005年8月16日に、Zotobというネットワーク型ワームが発生して、アメリカを中心に感染を広げています。
このウイルスは、8/10にマイクロソフトが発表したぜい弱性を狙って感染します。
■プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる
通常、ウイルスの発生までの流れは、
1. 開発元(マイクロソフト)が脆弱性をを公開
2. その脆弱性を狙う攻撃ツールがWebで公開される
3. 攻撃ツールを組み込んだウイルスの発生
という流れになります。
今回のZotobは、これら全てをわずか1週間もかからずに、ウイルスの発生までこぎつけましたね。
これは過去の脆弱性を狙ったウイルスの中では最速です。
パッチの適用が一切間に合わない「ゼロデイアタック」の恐怖が現実味を帯びてきた感じです。
ちなみに、このウイルスに感染すると、ネットワークに接続しているコンピュータに対してポート445番を使って攻撃をしかけます。
そして、感染すると、PCが勝手に再起動したり、自動的に電源OFFになったりする症状があります。
また、IRCサーバに勝手に接続する動作もしますので、いつのまにかゾンビPCとなっているかもしれませんので、十分気をつけてください。
唯一の救いとしては、最も感染の可能性があるのは、Windows2000のOSだったことです。現在は企業も多くがWindowsXPを使っていますからね。
とりあえず、Windows2000/XP/2003をご利用の方は、感染しないためにも以下の対応をしてくださいね。
■ パッチの適用
マイクロソフトのサイトから、パッチをダウンロードするか、Windows Updateを行う。
■ ウイルスに感染していないかどうかチェック
今回のウイルスは、ウイルスファイルを発見するよりも、実際に感染しているかどうかをチェックするために、自動修復ツールを使ってください。
■ ポート445番のブロック
上記対応ができれば、特に必要はないですが、パーソナルファイアウォールや、ファイアウォールを管理している方は、可能であれば一時的に445番ポートをブロックしてみた方が良いですね。
2年前の「MSブラスター」と全く同じような時期に発生したウイルスですが、MSブラスターほど広がっていないということは、OSをはじめとしてインターネット全体のセキュリティが上がっているのかもしれませんね。(これには異論・反論ありそうですが・・・)
ただし、日本はまだお盆休みから空けてない企業もあるので、今後日本国内で、猛威を振るう可能性もあるので十分注意しましょう。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。