公開日:2003/08/12 最終更新日:2003/08/12

JVNCA-2003-20
W32/Blaster ワーム

概要

Microsoft Windows RPC の脆弱性を使って伝播するワームについての情報です。
この悪質なワームは、W32.Blaster.Worm, W32/Lovsan.worm, WORM_MSBLAST.A などと呼ばれ、135/TCP を通じて拡散を試みます。
日本時間 8 月 14 日時点で亜種が出現しています。
日本時間 8 月 18 日時点で W32/Blaster の活動に関連するワーム (W32.Welchia.Worm, W32/Nachi.worm, WORM_MSBLAST.D) が出現しています。

影響を受けるシステム

  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Server 4.0
  • Microsoft Windows NT Server 4.0, Terminal Services Edition
  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

詳細情報

想定される影響

このワームに感染したシステムは、攻撃者によって他のシステムに対する分散型サービス運用妨害 (distributed denial-of-service, DDoS) 攻撃の踏み台として使用される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
ヤマハ Blasterワームおよびその亜種による、意図せぬISDN回線の長時間接続の問題について
アンラボ Win32/Blaster.worm.6176
アンラボ Win32/Blaster.worm.7200
アンラボ Win32/Blaster.worm.5360
アンラボ Win32/Welchia.worm.10240
Cisco W32.BLASTER ワームの影響を軽減するための推奨事項
Cisco Nachi Worm Mitigation Recommendations
日本エフセキュア Lovsan
日本エフセキュア Lovsan.B
日本エフセキュア Lovsan.C
日本エフセキュア Welchi
富士通 [緊急] Blasterウイルス(ワーム)の対策/予防について
富士通 CA-2003-20に対する富士通の情報
富士通 CA-2003-20に対するSolaris OEの情報
富士ゼロックス Windowsの脆弱性を悪用したウイルスへの対応について
古河電工 設定変更してもISDN回線が切断されない方へ
古河電工 Blasterワームによる,ISDN回線長時間接続」に関して
日本ヒューレット・パッカード SSRT3608 DCEにおけるセキュリティ脆弱性
日本ヒューレット・パッカード SSRT3617 OpenView DCEにおけるセキュリティ脆弱性
日立 Blaster ワームに対する関連製品の対応について
Internet Security Systems MSRPC DCOM ワーム「MS Blast」の蔓延
Internet Security Systems MSSリポート 「MS Blastワームの状況について」
ラック JSOC 緊急レポート(Blaster または Lovsan ワーム)
ラック JSOC 緊急レポート(ICMP スキャンの増加について)
メルコ MSBlaster(MSブラスタ)ウィルス対策
マイクロソフト Blaster に関する情報
マイクロソフト Blaster ワームへの対策 - Windows XP 編
マイクロソフト Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編
マイクロソフト サービスプロバイダ (ISP) 向け Blaster ワーム対策の推奨事項
日本ネットワークアソシエイツ W32/Lovsan.worm.a
日本ネットワークアソシエイツ W32/Lovsan.worm.b
日本ネットワークアソシエイツ W32/Lovsan.worm.c
日本ネットワークアソシエイツ W32/Lovsan.worm.d
日本ネットワークアソシエイツ W32/Nachi.worm
NEC コンピュータウイルス Blaster(ブラスター)について
NTT東日本 ダイヤルアップ接続でインターネット通信等をご利用のお客様へのお知らせ
NTT西日本 ダイヤルアップ接続でインターネット通信等をご利用のお客様へのお知らせ
リコー ウイルス(MSBLAST)に対する関連製品の対応について
ソニー Blasterワーム(MSblastワームウィルス)について
ソフォス W32/Blaster-A
ソフォス W32/Blaster-B
ソフォス W32/Blaster-D
ソフォス W32/Nachi-A
シマンテック W32.Blaster.Worm
シマンテック W32.Blaster.B.Worm
シマンテック W32.Blaster.C.Worm
シマンテック W32.Welchia.Worm
SGI
トレンドマイクロ WORM_MSBLAST.A
トレンドマイクロ WORM_MSBLAST.B
トレンドマイクロ WORM_MSBLAST.C
トレンドマイクロ WORM_NACHI.A

参考情報

  1. JVNCA-2003-16
    Microsoft Windows RPC にバッファオーバーフローの脆弱性
  2. JVNCA-2003-19
    Microsoft Windows RPC の脆弱性を対象とする侵害活動
  3. CERT Vulnerability Note VU#568148
    Microsoft Windows RPC vulnerable to buffer overflow
  4. CERT/CC
    W32/Blaster Recovery Tips
  5. CIAC Bulletin N-133
    N-133: Blaster Worm (aka: W32.Blaster, MSBlast, Lovsan, Win32.Poza)
  6. NIPC
    Potential Internet Attack Targeting Microsoft Beginning August 16, 2003
  7. NIPC
    New version of the MS-RPC DCOM Worm infecting machines and creating Denial of Service Conditions
  8. 経済産業省
    マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起
  9. 経済産業省
    マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況(8月15日午後4時時点の状況)
  10. 経済産業省
    マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況について
  11. 経済産業省
    マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起について(その2)
  12. 経済産業省
    マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する現在の状況
  13. 経済産業省
    W32/BlasterおよびW32/Welchiの潜在的感染者に対する注意喚起
  14. 経済産業省
    新種Welchi(ウェルチ)ワームの潜在的感染者に関する注意喚起について
  15. IPA セキュリティセンター(IPA/ISEC)
    「W32/MSBlaster」ワームに関する情報
  16. IPA セキュリティセンター(IPA/ISEC)
    新種「W32/Welchi」ワームに関する情報
  17. IPA セキュリティセンター(IPA/ISEC)
    W32/MSBlaster 及びW32/Welchi ウイルス被害に関する企業アンケート調査の結果について
  18. 警察庁
    Windowsの脆弱性(MS03-026)を利用したワームの蔓延について
  19. 警察庁
    Windowsの脆弱性(MS03-026)を利用したワームの概要について
  20. 警察庁
    Windowsの脆弱性(MS03-026)を利用したワームの概要について(続報)
  21. 警察庁
    いわゆる「Blasterワーム」の攻撃活動について
  22. 警察庁
    いわゆる「Blasterワーム」の攻撃活動について(続報)
  23. 警察庁
    ICMPトラフィックの急増について(8/18)
  24. 警察庁
    ICMPトラフィックを急増させたワームについて(8/18)
  25. 警察庁
    ICMPトラフィックを急増させたワームの概要について(8/19)
  26. 警察庁
    Windows RPC DCOMの脆 弱性を利用したワームの発生について(9/25)
  27. 警察庁
    Blaster.EワームのDoS活動に起因すると考えられるトラフィックの増加について
  28. 警察庁
    Blaster等ワームの継続的な活動について(11/28)
  29. 総務省
    マイクロソフトWindowsの脆弱性を狙ったワームへの対応
  30. 総務省
    マイクロソフトWindowsの脆弱性を狙った新たなワームへの対応
  31. 総務省
    マイクロソフトWindowsの脆弱性を狙ったワームによるダイヤルアップ接続への影響
  32. SOFTBANK BB
    【Yahoo! BBからの緊急のお知らせ】 今年一番の猛威をふるうコンピュータウイルスが蔓延中です!
  33. DDIポケット
    ウイルス 「WORM BLASTER」 流行の件
  34. DoCoMo
    W32.Blaster.Wormに関する情報
  35. DoCoMo
    ワーム型ウィルス「Blaster」の影響について
  36. OCN
    OCNの各種ワーム(Blasterワーム、SOBIG.Fワーム)に対する取組状況について
  37. ラック
    CERT Advisory CA-2003-20 W32/Blaster worm [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2003-0005
JPCERT/CC Alert 2003-08-13, TCP 135番ポートへのスキャンの増加に関する注意喚起
JPCERT REPORT JPCERT-WR-2003-3301
JPCERT/CC REPORT 2003-08-20
JPCERT-WR-2003-3701
JPCERT/CC REPORT 2003-09-18
CERT Advisory CERT Advisory CA-2003-20
W32/Blaster worm
CPNI Advisory
TRnotes
CVE
JVN iPedia