公開日:2004.04.14 13:24 最終更新日:2004.07.20 02:04

TRTA04-104A
Microsoft Windows 環境に複数の脆弱性

概要


Microsoft Windows 環境に複数の脆弱性が確認されています。
 - LSASS (Local Security Authority Subsystem Service) の脆弱性
 - LDAP (Lightweight Directory Access Protocol) の脆弱性
 - PCT (Private Communications Transport) の脆弱性
 - Windows ログオンプロセス (Winlogon) の脆弱性
 - Windows Metafile (WMF) のレンダリングおよび拡張メタファイル (EMF) 画像形式の脆弱性
 - ヘルプとサポートの脆弱性
 - ユーティリティマネージャの脆弱性
 - Windows Management の脆弱性
 - Local Descriptor Table (LDT) の脆弱性
 - H.323 の脆弱性
 - 仮想 DOS マシンの脆弱性
 - ネゴシエート SSP (Security Software Provider) の脆弱性
 - SSL (Secure Sockets Layer) の脆弱性
 - ASN.1 ライブラリに "Double Free" の脆弱性
 - RPC (Remote Procedure Call) ランタイムライブラリの脆弱性
 - RPCSS サービスの脆弱性
 - COM インターネットサービス (CIS) - RPC over HTTP の脆弱性
 - オブジェクト ID の脆弱性
 - MHTML (MIME Encapsulation of Aggregate HTML Documents) URL のプロセスの脆弱性
 - Jet データベースエンジンの脆弱性

影響を受けるシステム
 - Microsoft Windows オペレーティングシステム
 - Microsoft Windows RPC と DCOM サブシステム
 - Microsoft Windows MHTML プロトコルハンドラ
 - Microsoft Jet データベースエンジン

時系列イベント


日時 (JST)内容
2003-08-26 21:55Full-Disclosure に XF16394 の脆弱性に関する報告 "ADODB.Stream object" が投稿される
#Post-Date: Tue Aug 26 2003 - 07:55:12 CDT
2003-10-08 (米国日付)「LSASS の脆弱性 (VU#753212)」が確認される (by eEye Digital Security)
2003-11-01 (米国日付)「WMF のレンダリングおよび EMF 画像形式の脆弱性 (VU#547028)」が確認される (by eEye Digital Security)
2003-11-21 (米国日付)「LDT の脆弱性 (VU#122076)」が確認される (by eEye Digital Security)
2004-02-09 (米国日付)「仮想 DOS マシンの脆弱性 (VU#783748)」が確認される (by eEye Digital Security)
2004-04-14 02:00ISS AlertCon ? => ?
SecurityFocus ThreatCON ? => ?
2004-04-14 03:40MS メーリングリスト経由で マイクロソフト セキュリティ情報 2004 年 4 月のセキュリティ情報 (Windows) が届く
#Post-Date: Tue, 13 Apr 2004 11:40:41 -0700
2004-04-14 06:49@police マイクロソフト社Windows のセキュリティ修正プログラムについて(MS04-011)(4/14) を Web 公開
#Last-Modified: Tue, 13 Apr 2004 21:49:06 GMT
2004-04-14 06:51@police Windows RPC/DCOMの脆弱性について(MS04-012)(4/14) を Web 公開
#Last-Modified: Tue, 13 Apr 2004 21:51:14 GMT
2004-04-14 06:52@police マイクロソフト社Outlook Expressの累積的な修正プログラムについて(MS04-013)(4/14) を Web 公開
#Last-Modified: Tue, 13 Apr 2004 21:52:43 GMT
2004-04-14 08:04MS メーリングリスト経由で Microsoft Windows Security Bulletin Summary for April 2004 が届く
#Post-Date: Tue, 10 Feb 2004 14:32:26 -0800
2004-04-14 11:36First メーリングリスト経由で TA04-104A が届く
#Post-Date: Tue, 13 Apr 2004 22:18:20 -0400
2004-04-14 11:42US-CERT メーリングリスト経由で TA04-104A が届く
#Post-Date: Tue, 13 Apr 2004 22:18:57 -0400
2004-04-14 12:06ISSKK Microsoft SSL ライブラリにおけるリモート セキュリティ侵害の脆弱点 (MS04-011/VU#586540) を Web 公開
#Last-Modified: Wed, 14 Apr 2004 03:06:22 GMT
2004-04-14 12:36CERT メーリングリスト経由で TA04-104A が届く
#Post-Date: Tue, 13 Apr 2004 22:25:08 -0400
2004-04-14 13:19ISSKK Microsoft 製品における複数の脆弱点 を Web 公開
#Last-Modified: Wed, 14 Apr 2004 04:19:14 GMT
2004-04-14 13:23IPA/ISEC Windows製品群における 複数の脆弱性について を Web 公開
#Last-Modified: Wed, 14 Apr 2004 04:23:43 GMT
2004-04-14 16:15IPA/ISEC Outlook ExpressとInternet ExplorerのMHTML URLプロセスの脆弱性について を Web 公開
#Last-Modified: Wed, 14 Apr 2004 07:15:17 GMT
2004-04-14 16:15IPA/ISEC Windows RPC/DCOM の複数の脆弱性について を Web 公開
#Last-Modified: Wed, 14 Apr 2004 07:15:21 GMT
2004-02-14 22:33Full-Disclosure に "MS04-011 SSL Remote DoS PoC (VU#150236 の攻略)" が投稿される
#Cid: sslbomb.c
#Cid: 04142004.sslbomb.c
#Tested: Windows 2000 + IIS 5.0
#Post-Date: Wed, 14 Apr 2004 15:33:30 +0200
2004-04-15 MS04-011 「ASN.1 "Double Free" の脆弱性」 Windows NT 4.0 の深刻度を変更
#Severity-Rating: None => Critical (MS)
2004-04-15 MS04-011 「SSL の脆弱性」 Windows 2000, Windows XP, Windows Server 2003 の深刻度を変更
#Severity-Rating: Critical => Important (MS)
2004-04-16 00:45Full-Disclosure に "[SHATTER Team Security Alert] Microsoft Windows Utility Manager Vulnerability (MS04-011/VU#526084 の攻略)" が投稿される
#Cid: UtilManExploit.c
#Cid: 04152004.UtilManExploit.c
#Post-Date: Thu, 15 Apr 2004 11:45:52 -0400
2004-04-17 21:11 "Microsoft windows lsass.exe local exploit (VU#753212 の攻略)" が Web 公開される
#Cid: Billybastard.c
#Last-Modified: Sat, 17 Apr 2004 12:11:00 GMT
2004-04-20 AMSecurityFocus ThreatCON ? => ?
2004-04-20 23:10ISS AlertCon ? => ?
2004-04-21 16:30経済産業省 MS04-011、MS04-012及びMS04-013の脆弱性に対する対応について を Web 公開
#Last-Modified: Wed, 21 Apr 2004 07:30:39 GMT
2004-04-21 19:50Full-Disclosure に "THCIISSLame exploit (MS04-011/VU#586540 の攻略)" が投稿される
#Cid: THCIISSLame.c
#Cid: 04212004.THCIISSLame.c
#Tested: Windows 2000 [EN] + SP4
#Tested: Windows 2000 [DE] + SP4
#Binding-Port: 31337
#Post-Date: Wed, 21 Apr 2004 12:50:30 +0200 (MEST)
2004-04-21 Foundstone, Inc. LSASS scanner: DSScan V1.0 (MS04-011/VU#753212 の検査) ツールをリリース
2004-04-22 11:25ISSKK Microsoft SSL ライブラリにおけるリモート セキュリティ侵害の脆弱点 を更新 (MS04-011/VU#586540 の攻略コードに関する注意喚起)
#Last-Modified: Thu, 22 Apr 2004 02:25:20 GMT
2004-04-22 (米国日付)US-CERT Current Activity として Exploit for Microsoft PCT vulnerability released を報告
2004-04-22 12:29"Windows Expand-Down Data Segment Local Privilege Escalation [MS04-011] (VU#122076 の攻略)" が Web 公開される
#Cid: winldt.c
#Last-Modified: Thu, 22 Apr 2004 03:29:23 GMT
2004-04-22 20:32Full-Disclosure に "THCIISSLame v0.2 - connectback shell support (MS04-011/VU#586540 の攻略)" が投稿される
#Cid: THCIISSLame.c
#Cid: 04212004.THCIISSLame.c
#Tested: Windows 2000 [EN] + SP4
#Tested: Windows 2000 [DE] + SP4
#Post-Date: Thu, 22 Apr 2004 13:32:30 +0200 (MEST)
2004-04-23 01:30ISS AlertCon ? => ?
2004-04-23マイクロソフト PCT/SSL の悪用を試みるコードに関する情報 (MS04-011/VU#586540 の攻略) を Web 公開
2004-04-24 5:00SecurityFocus ThreatCON ? => ?
2004-04-24 16:29MS メーリングリスト経由で マイクロソフト セキュリティ情報 MS04-011 を悪用する攻撃コードに関する情報 が届く
#Post-Date: Sat, 24 Apr 2004 00:29:35 -0700
2004-04-24 17:24@police Windowsの脆弱性(MS04-011)を攻撃するプログラムについて(4/24) を Web 公開
#Last-Modified: Sat, 24 Apr 2004 08:24:27 GMT
2004-04-24 19:19Full-Disclosure に "Metasploit Microsoft IIS SSL PCT Module (MS04-011/VU#586540 の攻略)" が投稿される
#Cid: iis5x_ssl_pct.pm
#Cid: 04242004.iis5x_ssl_pct.pm
#Tested: Windows 2000 [EN]
#Tested: Windows XP [EN]
#Post-Date: Sat, 24 Apr 2004 05:19:04 -0500
2004-04-26 02:46 Full-Disclosure に "Windows Lsasrv lsass Remote EXPLOIT (MS04-011) (VU#753212 の攻略)" が投稿される
#Cid: 04252004.ms04011lsass.c
#Tested: Windows 2000 [EN] + SP4
#Tested: Windows XP [CN] + SP1
#Post-Date: Sun, 25 Apr 2004 10:46:26 -0700 (PDT)
2004-04-26 09:59IPA/ISEC Microsoft SSL ライブラリの脆弱性について を Web 公開
#Last-Modified: Mon, 26 Apr 2004 00:59:09 GMT
2004-04-26 12:40JPCERT メーリングリスト経由で JPCERT/CC Alert 2004-04-26 Vulnerabilities of Microsoft Windows が届く
#Post-Date: Mon, 26 Apr 2004 12:20:52 +0900
2004-04-26 13:17経済産業省 マイクロソフト社製OSの脆弱性を攻撃するプログラムへの緊急の対応及び大型連休に向けた情報セキュリティ対策の徹底要請について
マイクロソフト社製OSの脆弱性を攻撃するプログラムへの緊急の対応及び大型連休に向けた情報セキュリティ対策について を Web 公開
#Last-Modified: Mon, 26 Apr 2004 04:17:47 GMT
2004-04-26 14:09総務省 マイクロソフト社製OSの脆弱性を攻撃するプログラムへの緊急の対応及び大型連休に向けた情報セキュリティ対策について を Web 公開
#Last-Modified: Mon, 26 Apr 2004 05:09:12 GMT
2004-04-26 20:01警察庁 マイクロソフト社製OSの脆弱性を攻撃するプログラムへの緊急の対応及び大型連休に向けた情報セキュリティ対策について を Web 公開
#Last-Modified: Mon, 26 Apr 2004 11:01:23 GMT
2004-04-27 10:14ラック SNS Spiffy Reviews No.10 Successful Reproduction of MS04-011 "LSASS Vulnerability" on Japanese Environments (MS04-011/VU#753212 を攻略) を Web 公開
#Tested: Windows 2000 Server [JA] + SP4
#Tested: Windows 2000 Server [EN] + SP4
#Last-Modified: Tue, 27 Apr 2004 01:14:14 GMT
2004-04-27 23:25ISS AlertCon ? => ?
2004-04-27 (米国日付) シマンテック W32.Gaobot.AFJ (MS04-011/VU#753212 を攻略)
2004-04-28 08:00SecurityFocus ThreatCON ? => ?
2004-04-29 08:00SecurityFocus ThreatCON ? => ?
2004-04-29 (米国日付) シマンテック W32.Gaobot.AFW (MS04-011/VU#753212 を攻略)
2004-04-29 23:59 BugTraq に "MS04011 Lsasrv.dll RPC buffer overflow remote exploit (PoC) (MS04-011/VU#753212 を攻略)" が投稿される
#Cid: HOD-ms04011-lsasrv-expl.c
#Cid: 04292004.HOD-ms04011-lsasrv-expl.c
#Tested: Windows XP Professional [EN] + SP0
#Tested: Windows XP Professional [RU] + SP0
#Tested: Windows XP Professional [EN] + SP1
#Tested: Windows XP Professional [RU] + SP1
#Tested: Windows 2000 Professional [EN] + SP2
#Tested: Windows 2000 Professional [RU] + SP2
#Tested: Windows 2000 Professional [EN] + SP4
#Tested: Windows 2000 Professional [RU] + SP4
#Tested: Windows 2000 Advanced Server [EN] + SP4
#Tested: Windows 2000 Advanced Server [RU] + SP4
#Post-Date: Apr 29 2004 2:59PM
2004-04-30 04:22 Full-Disclosure に "Heads up: Possible lsass worm in the wild (MS04-011/VU#753212 を攻略)" が投稿される
#Reference: ネットワークアソシエーツ W32/Gaobot.worm.ali
#Reference: シマンテック W32.Gaobot.AFC
#Reference: トレンドマイクロ WORM_AGOBOT.JF
#Post-Date: Thu, 29 Apr 2004 12:22:27 -0700
2004-04-30 05:00SecurityFocus ThreatCON ? => ?
2004-04-30 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1)
ネットワークアソシエーツ W32/Sasser.worm
シマンテック W32.Sasser.Worm
トレンドマイクロ WORM_SASSER.A
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Fri Apr 30 19:23:16 2004
2004-05-01 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1b)
ネットワークアソシエーツ W32/Sasser.worm.b
シマンテック W32.Sasser.B.Worm
トレンドマイクロ WORM_SASSER.B
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Sat May 1 07:39:48 2004
2004-05-01 マイクロソフト Sasser ワームについてのお知らせ を Web 公開
2004-05-02 07:12@police W32.Sasser.worm ウイルスの発生について(5/2) を Web 公開
#Last-Modified: Sat, 01 May 2004 22:12:25 GMT
2004-05-02 12:27ISSKK Microsoft LSASS Sasser ワームの拡散 を Web 公開
#Last-Modified: Sun, 02 May 2004 03:27:36 GMT
2004-05-02 eEye Digital Security Sasser Worm Technical Analysis (翻訳版 by ラック) を Web 公開
Retina Sasser Worm Scanner をリリース
2004-05-02 21:45US-CERT Current Activity として W32/Sasser を報告
#Last reviewed: May 2, 2004 08:45:40 EDT
2004-05-02 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1c)
ネットワークアソシエーツ W32/Sasser.worm.c
シマンテック W32.Sasser.C.Worm
トレンドマイクロ WORM_SASSER.C
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Sat May 1 14:07:32 2004
2004-05-03 09:45@police W32.Sasser.worm ウイルスの発生について(5/3)更新 を Web 公開
#Last-Modified: Mon, 03 May 2004 00:45:30 GMT
2004-05-03 SANS Institute Multiple Exploits targeting Microsoft MS-04-011 vulnerabilities threaten networks. において、ICMP トラフィックの増加を報告 (May 3rd 09:30 AM)
2004-05-03 (米国日付) MS04-011/VU#753212 を悪用するワーム (ICMP を用いたスキャンを実施) (*1d)
ネットワークアソシエーツ W32/Sasser.worm.d
シマンテック W32.Sasser.D
トレンドマイクロ WORM_SASSER.D
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Sun May 2 10:53:43 2004
2004-05-04 11:47JPCERT メーリングリスト経由で JPCERT/CC Alert 2004-05-04 W32/Sasser worm exploiting Windows LSASS が届く
#Post-Date: Tue, 04 May 2004 11:29:57 +0900
2004-05-05 マイクロソフト Sasser ワーム駆除ツール Version 2.0 (Sasser.A 〜 Sasser.D の検知および駆除) を Web 公開
2004-05-05 IPA/ISEC 新種ワーム「W32/Sasser」に関する情報 を Web 公開
2004-05-05 20:06経済産業省 マイクロソフト社製OSの脆弱性を攻撃するワームへの緊急の対応及び 大型連休明けの情報セキュリティ対策の徹底要請について を Web 公開
#Last-Modified: Wed, 05 May 2004 11:06:51 GMT
2004-05-06 マイクロソフト Sasser ワームおよび亜種についての警報 を Web 公開
2004-05-07 19:47@police ICMPトラフィックの増加について(5/7) を Web 公開
#Last-Modified: Fri, 07 May 2004 10:47:40 GMT
2004-05-07 19:54@police Sasser.Dワームの概要について(5/7) を Web 公開
#Last-Modified: Fri, 07 May 2004 10:54:08 GMT
2004-05-07 23:15ISS AlertCon ? => ?
2004-05-08 (米国日付)Sasser の容疑者逮捕
#Reference: Microsoft
#Reference: F-Secure (The end of NetSky and Sasser saga?)
2004-05-08 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1e)
ネットワークアソシエーツ W32/Sasser.worm.e
トレンドマイクロ WORM_SASSER.E
#Reference: F-Secure (After the arrest, a new variant of Sasser found)
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Mon May 3 18:04:54 2004
2004-05-09 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1e)
シマンテック W32.Sasser.E.Worm
2004-05-09 09:00SecurityFocus ThreatCON ? => ?
2004-05-10 マイクロソフト Sasser ワーム駆除ツール Version 3.0 (Sasser.A 〜 Sasser.E の検知および駆除) を Web 公開
2004-05-10 18:45 Full-Disclosure に "Sasser Worm ftpd Remote Buffer Overflow Exploit (port 5554)" が投稿される
#Cid: sasserftpd.c
#Cid: 05102004.sasserftpd.c
#Post-Date: Mon, 10 May 2004 02:45:54 -0700 (PDT)
2004-05-10 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1f)
シマンテック W32.Sasser.F.Worm
トレンドマイクロ WORM_SASSER.F
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Fri Apr 30 19:23:16 2004
2004-05-11 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1f)
ネットワークアソシエーツ W32/Sasser.worm.f
2004-05-12 マイクロソフト Sasser ワーム駆除ツール Version 4.0 (Sasser.A 〜 Sasser.F の検知および駆除) を Web 公開
2004-05-13 (米国日付) Sasser ワームに内在する ftpd の脆弱性を悪用するワーム(*2)
トレンドマイクロ WORM_DABBER.AD
#Reference: LURHQ (Dabber Worm Analysis)
#Compile_Date: Wed May 12 00:46:01 2004
2004-05-13 18:30JPCERT Sasser ワームの感染活動に関連するポートスキャン状況について を Web 公開
#Last-Modified: Thu, 13 May 2004 09:30:53 GMT
2004-05-14 (米国日付) Sasser ワームに内在する ftpd の脆弱性を悪用するワーム(*2)
ネットワークアソシエーツ W32/Dabber.worm.a C
2004-05-16 (米国日付) MS04-011/VU#753212 を悪用するワーム(*3)
ネットワークアソシエーツ W32/Bobax.worm.a
2004-05-17 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Bobax.A(*3), W32.Bobax.B(*3b)
トレンドマイクロ WORM_BOBAX.A(*3)
#Reference: LURHQ (Bobax Trojan Analysis)
2004-05-17 (米国日付)SANS Institute Port 5000 increase due to two worms: Bobax and Kibuv において、5000/tcp トラフィックの増加を報告
2004-05-17 23:24 "MS04011 Lsasrv.dll RPC buffer overflow Autorooter (VU#753212 の攻略)" が Web 公開される
#Cid: lsassaroot.c
#Last-Modified: Mon, 17 May 2004 14:24:57 GMT
2004-05-18 06:37@police TCP5000番ポートに対するトラフィックの増加について を Web 公開
#Last-Modified: Mon, 17 May 2004 21:37:02 GMT
2004-05-18 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Bobax.C(*3c)
トレンドマイクロ WORM_BOBAX.B(*3b), WORM_BOBAX.C(*3c)
2004-05-19 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Bobax.D(*3d)
2004-05-21 (米国日付) MS04-011/VU#753212 を悪用するワーム
トレンドマイクロ WORM_BOBAX.D(*3d)
2004-05-22 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.A(*4)
2004-05-24 (米国日付) MS04-011/VU#753212 を悪用するワーム
ネットワークアソシエーツ W32/Korgo.worm.b
シマンテック W32.Korgo.B(*4b)
トレンドマイクロ WORM_KORGO.A, WORM_KORGO.B(*4b)
2004-05-25 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.C(*4c)
トレンドマイクロ WORM_KORGO.C(*4c)
2004-05-26 10:12@police TCP5000番ポートに対するトラフィックの増加について(更新)(5/26) を Web 公開
#Last-Modified: Wed, 26 May 2004 01:12:17 GMT
2004-05-26 (米国日付) MS04-011/VU#753212 を悪用するワーム
ネットワークアソシエーツ W32/Korgo.worm.c(*4c)
2004-05-30 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.D(*4d)
2004-05-31 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.E(*4e)
2004-06-01 (米国日付) MS04-011/VU#753212 を悪用するワーム
ネットワークアソシエーツ W32/Korgo.worm.e(*4e), W32/Korgo.worm.f(*4d)
シマンテック W32.Korgo.F(*4f)
2004-06-02 (米国日付) MS04-011/VU#753212 を悪用するワーム
ネットワークアソシエーツ W32/Korgo.worm.g(*4f)
シマンテック W32.Korgo.G(*4g)
トレンドマイクロ WORM_KORGO.E(*4e), WORM_KORGO.G(*4f)
2004-06-03 07:54@police Korgo(Worm.Korgo)ウイルスの発生について(6/3) を Web 公開
#Last-Modified: Wed, 02 Jun 2004 22:54:34 GMT
2004-06-04 01:50@police Korgo.Fワームの感染概要について(6/4) を Web 公開
#Last-Modified: Thu, 03 Jun 2004 16:50:57 GMT
2004-06-04 (米国日付) MS04-011/VU#753212 を悪用するワーム
トレンドマイクロ WORM_KORGO.D(*4a)
2004-06-07 (米国日付) MS04-011/VU#753212 を悪用するワーム
ネットワークアソシエーツ W32/Korgo.worm.i(*4h), W32/Korgo.worm.p(*4l)
シマンテック W32.Korgo.H(*4h), W32.Korgo.I(*4i)
トレンドマイクロ WORM_KORGO.H(*4i)
2004-06-08 (米国日付) MS04-011/VU#753212 を悪用するワーム
トレンドマイクロ WORM_KORGO.I(*4h)
2004-06-09 (米国日付) MS04-011/VU#753212 を悪用するワーム
トレンドマイクロ WORM_KORGO.M(*4m)
2004-06-14 (米国日付) MS04-011/VU#753212 を悪用するワーム
トレンドマイクロ WORM_KORGO.J(*4j)
2004-06-15 (米国日付)MS04-011/VU#586540, XF16394 を悪用
ネットワークアソシエーツ JS/Exploit-DialogArg.b(*5)
シマンテック Download.Ject(*5)
2004-06-17 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.L(*4l)
2004-06-21 (米国日付) MS04-011/VU#753212 を悪用するワーム
トレンドマイクロ WORM_KORGO.P(*4p)
2004-06-22 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.O(*4o)
2004-06-23 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.P
2004-06-24 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.Q
トレンドマイクロ WORM_KORGO.S
2004-06-24 MS04-011/VU#586540, XF16394 を悪用
SANS Institute RFI - Russian IIS Hacks? において、IIS サイトの感染を報告
2004-06-24 (米国日付)US-CERT Current Activity として IIS 5 Web Server Compromises を報告
2004-06-24 (米国日付)MS04-011/VU#586540, XF16394 を悪用
シマンテック JS.Scob.Trojan(*5b)
2004-06-25 08:22MS04-011/VU#586540, XF16394 を悪用
Full-Disclosure に New malware to infect IIS and from there jump to clients が投稿される
#Post-Date: Thu Jun 24 2004 - 18:22:11 CDT
2004-06-25 (米国日付)MS04-011/VU#586540, XF16394 を悪用
ネットワークアソシエーツ Scob(*5b)
2004-06-25 MS04-011/VU#586540, XF16394 を悪用
マイクロソフト Download.Ject に関する情報(*5) を Web 公開
2004-06-25 23:35ISS AlertCon ? => ?
2004-06-26 (米国日付)MS04-011/VU#586540, XF16394 を悪用
トレンドマイクロ JS_JECT.A(*5)
2004-06-27 (米国日付)MS04-011/VU#586540, XF16394 を悪用
トレンドマイクロ JS_SCOB.A(*5b)
2004-06-27 13:15MS04-011/VU#586540, XF16394 を悪用
ISSKK Internet Explorer クロスゾーンの脆弱点の悪用 を Web 公開
#Last-Modified: Sun, 27 Jun 2004 04:15:25 GMT
2004-06-27 21:24@police 修正プログラムが公表されていないInternet Explorerの脆弱性を利用して感染するトロイの木馬について(6/27) を Web 公開
#Last-Modified: Sun, 27 Jun 2004 12:24:44 GMT
2004-06-28 17:29IPA/ISEC Microsoft SSL ライブラリの脆弱性について (不正なJavaScriptコードに関する注意喚起) 更新版を Web 公開
#Last-Modified: Mon, 28 Jun 2004 08:29:44 GMT
2004-06-28 23:45ISS AlertCon ? => ?
2004-06-30 (米国日付) MS04-011/VU#753212 を悪用するワーム
ネットワークアソシエーツ W32/Korgo.worm.s
2004-07-02 (米国日付) MS04-011/VU#753212 を悪用するワーム
シマンテック W32.Korgo.W
2004-07-17 (米国日付)SANS Institute Increased SSL Activity において、SSL(443/tcp) トラフィックの増加を報告
2004-07-18 (米国日付)SANS Institute More HTTPS Scanning Reports において、SSL(443/tcp) トラフィックの増加を報告

No.名称使用ポートサイズ削除ファイルMUTEX
*4Korgo.A
 
W32.Korgo.A
WORM_KORGO.D
113, 445, 2041, 3067, 6667/tcp34,880 バイトgo.exer10, u2, uterm5
*4bKorgo.B
 
W32.Korgo.B
WORM_KORGO.B
113, 445, 2041, 3067, 6667/tcp10,240 バイトgo.exer10, u2, uterm5, rocket10
*4cKorgo.C
W32/Korgo.worm.c
W32.Korgo.C
WORM_KORGO.C
113, 445, 3067, 6667/tcp10,240 バイトftpupd.exer10, u6, u7, uterm7
*4dKorgo.D
W32/Korgo.worm.f
W32.Korgo.D
WORM_KORGO.F
113, 445, 3067, 6667/tcp9,728 バイトftpupd.exeu6, u7, u8, uterm8
*4eKorgo.E
W32/Korgo.worm.e
W32.Korgo.E
WORM_KORGO.E
113, 445, 3067, 6667/tcp10,752 バイトftpupd.exeu6, u7, u9, uterm_9
*4fKorgo.F
W32/Korgo.worm.g
W32.Korgo.F
WORM_KORGO.G
113, 445, 3067, 6667/tcp10,752 バイトftpupd.exeu6, u8, u9, u10, uterm10
*4gKorgo.G
 
W32.Korgo.G
 
113, 445, 3067, 6667/tcp10,240 バイトgo.exer10, uterm14
*4hKorgo.H
W32/Korgo.worm.i
W32.Korgo.H
WORM_KORGO.I
113, 445, 3067, 6667/tcp10,879 バイトftpupd.exeu8, u9, u10, u11, u12, uterm13
*4iKorgo.I
 
W32.Korgo.I
WORM_KORGO.H
113, 445, 3067, 6667/tcp10,752 バイトftpupd.exer10, u8, u9, u10, uterm11
*4jKorgo.J
 
 
WORM_KORGO.J
113, 445, 3067, 6667/tcp10,879 バイトftpupd.exe 
*4lKorgo.L
W32/Korgo.worm.p
W32.Korgo.L
 
113, 445, 3067, 6667/tcp9,343 バイトftpupd.exer10, u8, u9, u10, uterm11
*4mKorgo.M
 
 
WORM_KORGO.M
113, 445, 3067, 6667/tcp9,728 バイトgo.exer10, u6, uterm6
*4oKorgo.O
 
W32.Korgo.O
 
113, 445, 5111/tcp343 バイトftpupd.exeu8, u9, u10, u11, u12, u13, u14, uterm14
*4pKorgo.P
 
 
WORM_KORGO.P
 9,343 バイトftpupd.exeuterm17