TRCA-2003-19
Microsoft Windows RPC の脆弱性を対象とする侵害活動
JVNCA-2003-16 で報告している Microsoft Windows の Remote Procedure Call (RPC) の実装に含まれる脆弱性を使った攻撃手法が公開され、その攻撃の試みと思われる不審なアクセスが増えています。
またこの脆弱性とは別の RPC の脆弱性を使ったサービス運用妨害 (denial-of-service, DoS) 攻撃の可能性も報告されています。
影響を受けるシステム
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0, Terminal Services Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
| 日時 (JST) | 内容 |
| 2003-07-16 (米国日付) | Microsoft Security Bulletin MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution (823980) の初版を Web 公開
#Affected-Port: 135/tcp |
| 2003-07-17 AM | ISS AlertCon ? => ? SecurityFocus ThreatCON ? => ? |
| 2003-07-17 | マイクロソフト RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026) の初版を Web 公開 |
| 2003-07-17 04:12 | MS メーリングリスト経由で MS03-026 日本語版速報が届く |
| 2003-07-17 05:14 | MS メーリングリスト経由で MS03-026 英語版が届く |
| 2003-07-17 12:04 | @Police Windowsの脆弱性について(MS03-026) を Web 公開
#Last-Modified: Thu, 17 Jul 2003 03:04:24 GMT |
| 2003-07-17 13:27 | BugTraq に "[LSD] Critical security vulnerability in Microsoft Operating Systems" が投稿される
#Post-Date: Jul 17 2003 4:27AM |
| 2003-07-17 14:21 | First メーリングリスト経由で CA-2003-16 が届く
#Post-Date: Thu, 17 Jul 2003 14:13:49 JST |
| 2003-07-17 14:46 | JPCERT メーリングリスト経由で CA-2003-16 の FYI が届く
#Post-Date: Thu, 17 Jul 2003 14:38:54 JST |
| 2003-07-17 15:00 | CERT メーリングリスト経由で CA-2003-16 が届く
#Post-Date: Thu, 17 Jul 2003 14:16:05 JST |
| 2003-07-17 16:57 | MS メーリングリスト経由で MS03-026 日本語版が届く |
| 2003-07-18 (米国日付) | MS03-026 の V1.1 版を Web 公開
#Affected-Port: 135,139,445/tcp #Affected-Port: 135,139,445/udp |
| 2003-07-18 PM | ISS AlertCon ? => ? |
| 2003-07-19 AM | SecurityFocus ThreatCON ? => ? |
| 2003-07-21 04:01 | Bugtraq に "Microsoft Windows 2000 RPC DCOM Interface DOS AND Privilege Escalation Vulnerability (VU#326746 の攻略)" が投稿される
#Cid: 07.21.MS03-026.c #Cid: 07.21.win2kdos.c #Tested: Windows 2000 [EN] + SP3 #Tested: Windows 2000 [EN] + SP4 #Notice: VU#326746 の脆弱性は、MS03-026 では除去されない。 #Post-Date: Jul 20 2003 7:01PM |
| 2003-07-22 (米国日付) | CERT/CC VU#326746 を準備 |
| 2003-07-22 AM | ISS AlertCon ? => ? SecurityFocus ThreatCON ? => ? |
| 2003-07-23 | ISSKK Microsoft Windows での RPC 実装の不具合 を Web 公開 |
| 2003-07-25 23:02 | "The Analysis of LSD's Buffer Overrun in Windows RPC Interface" が Web 公開される
#Cid: 07.25.winrpcdcom.c #Tested: Windows 2000 [EN] + SP3 #Tested: Windows 2000 [EN] + SP4 #Tested: Windows XP [CN] + SP1 #Last-Modified: Fri, 25 Jul 2003 14:02:13 GMT |
| 2003-07-26 AM | ISS AlertCon ? => ? |
| 2003-07-26 17:51 | eEye Digital Security Microsoft RPC DCOM Vulnerability Scanner をリリース (Bugtraq への投稿時刻 を参照)
#Post-Date: Jul 26 2003 8:51AM |
| 2003-07-27 02:25 | BugTraq に "DCOM RPC exploit (dcom.c)" が投稿される
#Cid: dcom.c #Post-Date: Jul 26 2003 5:25PM |
| 2003-07-28 | ISSKK 「Microsoft Windows での RPC 実装の不具合」に対する攻撃コード を Web 公開 |
| 2003-07-28 16:02 | exploitcoding に "dcom.c 日本語版対応" が投稿される
#Cid: dcom.c #Post-Date: Mon, 28 Jul 2003 16:02:36 +0900 |
| 2003-07-28 17:48 | ラック SNS Spiffy Reviews No.6: Successful Reproduction of MS03-026 "Buffer Overrun In RPC Interface Could Allow Code Execution" on Japanese Environment を Web 公開
#Last-Modified: Mon, 28 Jul 2003 08:48:12 GMT |
| 2003-07-29 AM | ISS AlertCon ? => ? |
| 2003-07-29 (米国日付) | 日本ネットワークアソシエイツ IRC-BBot を確認 |
| 2003-07-30 17:44 | ISSKK セキュリティ管理者向けツール MS03-026 RPC Vulnerability Scanner(Scanms) をリリース
#Last-Modified: Wed, 30 Jul 2003 08:44:38 GMT |
| 2003-07-31 04:51 | Full-Disclosure に "RPC DCOM universal offsets" が投稿される
#Post-Date: Wed, 30 Jul 2003 12:51:33 -0700 (PDT) |
| 2003-08-01 04:59 | "Windows RPC DCOM Remote Exploit with 48 TARGETS" が Web 公開される
#Cid: 07.30.dcom48.c #Last-Modified: Thu, 31 Jul 2003 19:59:18 GMT |
| 2003-08-01 05:38 | CERT/CC VU#326746 を Web 公開
#Date-First-Published: 07/31/2003 03:38:19 PM (EST) |
| 2003-08-01 06:02 | First メーリングリスト経由で CA-2003-19 が届く
#Post-Date: 2003-08-01 05:58 |
| 2003-08-01 07:54 | CERT メーリングリスト経由で CA-2003-19 が届く
#Post-Date: 2003-08-01 05:59 |
| 2003-08-02 (米国日付) | シマンテック Backdoor.IRC.Cirebot(*1) を確認 日本ネットワークアソシエイツ Downloader-DM(*1) を確認 |
| 2003-08-04 PM | ISS AlertCon ? => ? |
| 2003-08-05 17:40 | @Police TCP135番ポートに対するアクセスの急増について を Web 公開
#Last-Modified: Tue, 05 Aug 2003 08:40:35 GMT |
| 2003-08-05 19:08 | 経済産業省 情報セキュリティ政策室 Windows RPC インタフェースの脆弱性への注意喚起 を Web 公開
#Last-Modified: Tue, 05 Aug 2003 10:08:51 GMT |
| 2003-08-05 (米国日付) | シマンテック Backdoor.Hale, Backdoor.WinShell.50(*2) を確認 日本ネットワークアソシエイツ Stealther(*2)[MS03-026パッチを適用するトロイの木馬] を確認 トレンドマイクロ BKDR_CIREBOT.A(*1) を確認 |
| 2003-08-06 16:30 | ラック JSOC 緊急レポート(MS-RPC)[速報] を Web 公開 |
| 2003-08-06 (米国日付) | トレンドマイクロ BKDR_CIREBOT.B(*1) を確認 シマンテック Trojan.Stealther.B(*2) を確認 |
| 2003-08-08 (米国日付) | トレンドマイクロ TROJ_STEALTHER.A(*2) を確認 |
| 2003-08-11 (米国日付) | シマンテック W32.Blaster.Worm(*3), Backdoor.WinShell.50.b(*2) を確認 日本ネットワークアソシエイツ W32/Lovsan.worm.a(*3) を確認 |
| 2003-08-11 14:47 | トレンドマイクロ WORM_MSBLAST.A(*3) を確認 |
| 2003-08-11 (early afternoon EDT) | SANS RPC DCOM WORM (MSBLASTER) の流布を報告 |
| 2003-08-11 (米国日付) | 日本ネットワークアソシエイツ W32/Spybot.worm.lz(*4) を確認 トレンドマイクロ WORM_RPCSDBOT.A(*4) を確認 |
| 2003-08-12 (米国日付) | シマンテック W32.Randex.E(*4) を確認 |
| 2003-08-12 AM | ISS AlertCon ? => ? SecurityFocus ThreatCON ? => ? |
| 2003-08-12 02:00 | @Police TCPの135番ポートに対するアクセスの急増 を確認 |
| 2003-08-12 05:20 | SecurityFocus DCOM worm analysis report: W32.Blaster.Worm (Ver.1) をリリース |
| 2003-08-12 05:49 | BugTraq に "New Windows DCOM Worm - msblast.exe (fwd)" が投稿される |
| 2003-08-12 06:36 | BugTraq に "DCOM worm analysis report: W32.Blaster.Worm" が投稿される |
| 2003-08-12 07:00 | シマンテック W32.Blaster.Worm(*3) を Web 公開 |
| 2003-08-12 07:56 | @Police Windowsの脆弱性(MS03-026)を利用したワームの蔓延について を Web 公開 (W32.Blaster 動作概要)
#Last-Modified: Mon, 11 Aug 2003 22:56:44 GMT |
| 2003-08-12 10:24 | トレンドマイクロ WORM_MSBLAST.A(*3) を Web 公開 |
| 2003-08-12 AM | 日本ネットワークアソシエイツ W32/Lovsan.worm.a(*3) を Web 公開 マイクロソフト Blaster に関する情報 を Web 公開 |
| 2003-08-12 11:24 | First メーリングリスト経由で CA-2003-20 が届く
#Post-Date: Tue, 12 Aug 2003 11:19:57 JST |
| 2003-08-12 11:43 | JPCERT メーリングリスト経由で CA-2003-20 の FYI が届く
#Post-Date: Tue, 12 Aug 2003 11:26:32 JST |
| 2003-08-12 12:08 | CERT メーリングリスト経由で CA-2003-20 が届く
#Post-Date: Tue, 12 Aug 2003 11:21:18 JST |
| 2003-08-12 12:36 | ISSKK MSRPC DCOM ワーム「MS Blast」の蔓延 を Web 公開
#Last-Modified: Tue, 12 Aug 2003 03:36:07 GMT |
| 2003-08-12 12:46 | IPA/ISEC 「W32/MSBlaster」ワームに関する情報 を Web 公開
#Last-Modified: Tue, 12 Aug 2003 03:46:06 GMT |
| 2003-08-12 15:30 | ラック JSOC 緊急レポート(Blaster または Lovsan ワーム) を Web 公開 |
| 2003-08-12 (米国日付) | MS03-026 の V1.4 版を Web 公開
#Affected-Port: 135,139,445,593/tcp #Affected-Port: 135,137,138,445/udp #Affected-Port: 80,443/tcp(RPC over HTTP) |
| 2003-08-13 10:18 | JPCERT メーリングリスト経由で TCP 135番ポートへのスキャンの増加に関する注意喚起 が届く
#Post-Date: Wed, 13 Aug 2003 10:07:13 JST |
| 2003-08-13 17:00 | IPA/ISEC に寄せられている感染被害等による相談・届出は 120 件以上 |
| 2003-08-13 19:53 | 経済産業省 情報セキュリティ政策室 「W32/MSBlaster」ワームに関する注意喚起, マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起 を Web 公開
#Last-Modified: Wed, 13 Aug 2003 10:53:44 GMT |
| 2003-08-13 (米国日付) | シマンテック W32.Blaster.B.Worm(*3b), W32.Blaster.C.Worm(*3c) を確認 日本ネットワークアソシエイツ W32/Lovsan.worm.b(*3b), W32/Lovsan.worm.c(*3c) を確認 |
| 2003-08-14 02:51 | トレンドマイクロ WORM_MSBLAST.B(*3b) を確認 |
| 2003-08-14 07:50 | トレンドマイクロ WORM_MSBLAST.C(*3c) を確認 |
| 2003-08-14 14:59 | eEye Digital Security View eEye's detailed comments of the Blaster Worm assembly code を Web 公開
#Last-Modified: Thu, 14 Aug 2003 05:11:59 GMT |
| 2003-08-14 17:00 | IPA/ISEC に寄せられている感染被害等による相談・届出は 600 件以上 |
| 2003-08-14 17:24 | 総務省 マイクロソフトWindowsの脆弱性を狙ったワームへの対応 を Web 公開
#Last-Modified: Thu, 14 Aug 2003 08:24:49 GMT |
| 2003-08-15 12:00 | ラック システム管理者向け Blaster ワーム 盆休み明け対策ガイドライン, Blaster ワーム 対策ツール を Web 公開 |
| 2003-08-15 | マイクロソフト KB 823980 Scanning Tool (修正プログラム 823980 (MS03-026) がインストールされていないコンピュータを特定するツール) をリリース |
| 2003-08-15 17:00 | IPA/ISEC に寄せられている感染被害等による相談・届出は 累計で 900 件以上 |
| 2003-08-15 17:14 | @Police いわゆる「Blasterワーム」の攻撃活動について を Web 公開
#Last-Modified: Fri, 15 Aug 2003 08:14:18 GMT |
| 2003-08-15 18:24 | JPCERT メーリングリスト経由で Windows RPC の脆弱性を使用するワームに関する注意喚起 が届く
#Post-Date: Fri, 15 Aug 2003 18:09:06 JST |
| 2003-08-15 21:00 | ISSKK MSSリポート 「MS Blastワームの状況について」 を Web 公開 |
| 2003-08-15 21:53 | 経済産業省 情報セキュリティ政策室 マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況(8月15日午後4時時点の状況) を Web 公開
#Last-Modified: Fri, 15 Aug 2003 12:53:43 GMT |
| 2003-08-15 | windowsupdate.com の A レコード削除 (Blaster.AのDDoS対象) $ nslookup > windowsupdate.com. Server: dns1.cp.msft.net. Address: 207.46.138.20#53 *** Can't find windowsupdate.com.: No answer #Reference: @Police #Reference: シマンテック #Reference: CNET Japan #Reference: ITmedia |
| 2003-08-15 23:15 | ISSKK オーストラリアなどが 2003/8/16 00:00 を迎えたが、DDoS の発生兆候なし |
| 2003-08-16 00:30 | ISSKK 日本 2003/8/16 00:00 を超えたが、DDoS の発生兆候なし |
| 2003-08-16 02:01 | @Police いわゆる「Blasterワーム」の攻撃活動について(続報) を Web 公開
#Last-Modified: Fri, 15 Aug 2003 17:01:42 GMT |
| 2003-08-16 10:24 | 経済産業省 情報セキュリティ政策室 マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況について を Web 公開
#Last-Modified: Sat, 16 Aug 2003 01:24:08 GMT |
| 2003-08-16 AM | SecurityFocus ThreatCON ? => ? |
| 2003-08-16 17:00 | IPA/ISEC に寄せられている感染被害等による相談・届出は 累計で 1,600 件以上 |
| 2003-08-16 20:12 | 経済産業省 情報セキュリティ政策室 マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起について(その2) を Web 公開
#Last-Modified: Sat, 16 Aug 2003 11:12:25 GMT |
| 2003-08-17 AM | ISS AlertCon ? => ? |
| 2003-08-17 17:00 | IPA/ISEC に寄せられている感染被害等による相談・届出は 累計で 1,800 件以上 |
| 2003-08-18 18:52 | @Police ICMPトラフィックの急増について(8/18) を Web 公開
#Last-Modified: Last-Modified: Mon, 18 Aug 2003 09:52:00 GMT |
| 2003-08-18 21:45 | トレンドマイクロ WORM_NACHI.A( |
| 2003-08-18 (米国日付) | シマンテック W32.Welchia.Worm(*5), W32.Dinkdink.Worm を確認 日本ネットワークアソシエイツ W32/Nachi.worm(*5), W32/Lovsan.worm.d(*3d) を確認 トレンドマイクロ WORM_MSBLAST.D( |
| 2003-08-18 23:17 | SANS Increase in ICMP scans を報告 |
| 2003-08-18 23:36 | @Police ICMPトラフィックを急増させたワームについて(8/18) を Web 公開
#Last-Modified: Mon, 18 Aug 2003 14:36:40 GMT |
| 2003-08-18 23:55 | ラック JSOC 緊急レポート(ICMP スキャンの増加について) を Web 公開 |
| 2003-08-19 AM | SecurityFocus ThreatCON ? => ? |
| 2003-08-19 13:16 | @Police ICMPトラフィックを急増させたワームの概要について(8/19), 「ワームの感染動作概要」等 を Web 公開
#Last-Modified: Tue, 19 Aug 2003 04:16:41 GMT |
| 2003-08-19 17:37 | ISSKK MSRPC DCOM ワーム「MS Blast」の蔓延(Nachi ワームに関する情報追記) を Web 公開
#Last-Modified: Tue, 19 Aug 2003 06:37:36 GMT |
| 2003-08-19 | 総務省 マイクロソフトWindowsの脆弱性を狙った新たなワームへの対応 を Web 公開 |
| 2003-08-19 19:08 | IPA/ISEC 新種「W32/Welchi」ワームに関する情報 を Web 公開
#Last-Modified: Tue, 19 Aug 2003 10:08:05 GMT |
| 2003-08-20 14:44 | 経済産業省 情報セキュリティ政策室 W32/BlasterおよびW32/Welchiの潜在的感染者に対する注意喚起 を Web 公開
#Last-Modified: Wed, 20 Aug 2003 05:44:47 GMT |
| 2003-08-21 (米国日付) | シマンテック W32.HLLW.Gaobot.AA(*6), Backdoor.IRC.RPCBot を確認 日本ネットワークアソシエイツ W32/Gaobot.worm.y(*6) を確認 |
| 2003-08-22 (米国日付) | トレンドマイクロ WORM_AGOBOT.P(*6) を確認 シマンテック Backdoor.IRC.RPCBot.B を確認 |
| 2003-08-22 | DDIポケット ウイルス 「WORM BLASTER」 流行の件 (TCP PORT135番 の通信を遮断) を Web 公開 |
| 2003-08-25 PM | ISS AlertCon ? => ? |
| 2003-08-26 (米国日付) | シマンテック W32.HLLW.Raleka(*7) を確認 日本ネットワークアソシエイツ W32/Raleka.worm(*7) を確認 |
| 2003-08-26 AM | SecurityFocus ThreatCON ? => ? |
| 2003-08-27 (米国日付) | トレンドマイクロ WORM_RALEKA.B(*7) を確認 |
| 2003-08-28 (米国日付) | シマンテック W32.Blaster.E.Worm(*3e) を確認 日本ネットワークアソシエイツ W32/Lovsan.worm.e(*3e) を確認 Blaster.B(*3b) の容疑者逮捕 #Reference: ITmedia |
| 2003-08-29 (米国日付) | シマンテック Backdoor.IRC.RPCBot.C を確認 トレンドマイクロ WORM_MSBLAST.E( |
| 2003-08-29 AM | ISS AlertCon ? => ? |
| 2003-08-29 | kimble.org の A レコード変更 (Blaster.EのDDoS対象) $ nslookup > kimble.org. Server: ns1.dnsresolve.net. Address: 193.254.184.231#53 Name: kimble.org Address: 127.0.0.1 > set type=SOA > kimble.org. kimble.org origin = ns1.dnsresolve.net mail addr = root.ns1.dnsresolve.net serial = 2003082501 (変更日は 2003-08-25 ではないかとの情報も by @Police) refresh = 40000 retry = 7200 expire = 604800 minimum = 86400 #Reference: F-Secure #Reference: @Police |
| 2003-08-29 16:02 | @Police #Last-Modified: Fri, 29 Aug 2003 07:02:07 GMT |
| 2003-08-31 (米国日付) | 日本ネットワークアソシエイツ W32/Gaobot.worm.z(*6b) を確認 トレンドマイクロ WORM_AGOBOT.R(*6b) を確認 |
| 2003-09-01 18:23 | @Police Windowsの脆弱性(MS03-026)を利用したワームについて を Web 公開
#Last-Modified: Mon, 01 Sep 2003 09:23:53 GMT |
| 2003-09-01 (米国日付) | シマンテック W32.Blaster.F.Worm(*3f) を確認 日本ネットワークアソシエイツ W32/Lovsan.worm.f(*3f) を確認 トレンドマイクロ WORM_MSBLAST.F( |
| 2003-09-01 | tuiasi.ro. の A レコードなし (Blaster.FのDDoS対象) $ nslookup > tuiasi.ro. Server: ns1.tuiasi.ro. Address: 193.231.15.152#53 *** Can't find tuiasi.ro.: No answer #Reference: F-Secure |
| 2003-09-02 (米国日付) | シマンテック Backdoor.IRC.RPCBot.D を確認 |
| 2003-09-02 PM | ISS AlertCon ? => ? |
| 2003-09-03 AM | SecurityFocus ThreatCON ? => ? |
| 2003-09-03 13:25 | ISSKK Nachiに関する追加情報 を Web 公開
#Last-Modified: Wed, 03 Sep 2003 04:25:05 GMT |
| 2003-09-03 | Blaster.F(*3f) の容疑者逮捕報道
#Reference: impress #Reference: HOTWIRED JAPAN |
| 2003-09-05 (米国日付) | シマンテック Backdoor.IRC.RPCBot.E を確認 |
| 2003-09-08 (米国日付) | シマンテック W32.HLLW.Gaobot.AE を確認 |
| 2003-09-09 (米国日付) | 日本ネットワークアソシエイツ W32/Gaobot.worm.aa(*6c) を確認 トレンドマイクロ WORM_AGOBOT.AB(*6c) を確認 |
| 2003-09-10 (米国日付) | Microsoft Security Bulletin MS03-039 Buffer Overrun In RPCSS Service Could Allow Code Execution (824146) の初版を Web 公開 (VU#326746 の脆弱性を除去) |
| 2003-09-11 (米国日付) | トレンドマイクロ WORM_AGOBOT.Z を確認 |
| 2003-09-16 | NTTドコモ @FreeD ウィルス対策について (ICMPパケットの一部を遮断) |
| 2003-09-16 (米国日付) | シマンテック Backdoor.IRC.RPCBot.F, W32.HLLW.Gaobot.AF を確認 |
| 2003-09-17 | トレンドマイクロ 検出名を変更 WORM_MSBLAST.D (パターン614〜) => WORM_NACHI.A (パターン631〜) (*5) WORM_MSBLAST.E => WORM_MSBLAST.D (パターン633〜) (*3d) WORM_MSBLAST.F => WORM_MSBLAST.E (パターン633〜) (*3e) WORM_MSBLAST.G => WORM_MSBLAST.F (パターン633〜) (*3f) |
| 2003-09-18 13:54 | IPA/ISEC W32/MSBlaster 及びW32/Welchi ウイルス被害に関する企業アンケート調査の結果について報告 を Web 公開
#Last-Modified: Thu, 18 Sep 2003 04:54:22 GMT |
| 2003-09-23 (米国日付) | シマンテック W32.HLLW.Gaobot.AG を確認 トレンドマイクロ WORM_AGOBOT.M を確認 |
| 2003-09-25 08:01 | @Police RPC DCOM 一連の経過をまとめた Windows RPC DCOMの脆弱性を利用したワームの発生について を Web 公開
#Last-Modified: Thu, 25 Sep 2003 01:01:21 GMT |
| 2003-09-26 | Spybot(*4) の容疑者逮捕
#Reference: ITmedia |
| 2003-09-27 (米国日付) | トレンドマイクロ WORM_AGOBOT.AA を確認 |
| 2003-09-29 (米国日付) | シマンテック W32.HLLW.Gaobot.AN を確認 |
| 2003-09-30 (米国日付) | シマンテック W32.HLLW.Gaobot.AO(*6d) を確認 トレンドマイクロ WORM_AGOBOT.H(*6d) を確認 |
| 2003-10-03 (米国日付) | 日本ネットワークアソシエイツ W32/Gaobot.worm.ai を確認 |
| 2003-10-04 (米国日付) | トレンドマイクロ WORM_AGOBOT.AD を確認 |
| 2003-10-08 (米国日付) | トレンドマイクロ WORM_DONK.B を確認 |
| 2003-10-09 (米国日付) | 日本ネットワークアソシエイツ W32/Gaobot.worm.ak(*6d) を確認 |
| 2003-10-10 (米国日付) | シマンテック W32.HLLW.Gaobot.AP を確認 |
| 2003-10-16 (米国日付) | シマンテック W32.HLLW.Gaobot.AZ を確認 |
| 2003-10-16 19:55 | @Police Blaster.EワームのDoS活動に起因すると考えられるトラフィックの増加についてまとめた 送信元IPアドレス127.0.0.1、送信元ポート80のTCPパケットの増加について を Web 公開
#Last-Modified: Thu, 16 Oct 2003 10:55:54 GMT |
| 2003-10-23 (米国日付) | シマンテック W32.HLLW.Gaobot.BB を確認 |
| 2003-10-24 (米国日付) | シマンテック W32.HLLW.Gaobot.BC, W32.HLLW.Gaobot.BE を確認 |
| 2003-10-27 (米国日付) | シマンテック W32.HLLW.Gaobot.BF, W32.HLLW.Gaobot.BH, W32.HLLW.Gaobot.BI を確認 |
| 2003-10-27 18:05 | BugTraq に "Nachi/Welchia/LovSan.D version 2 appears to be spreading" が投稿される |
| 2003-10-28 (米国日付) | シマンテック W32.HLLW.Gaobot.BM を確認 |
| 2003-10-28 18:58 | ISSKK Microsoft Windows RPCの脆弱点をついたワームの拡散を懸念 を Web 公開
#Last-Modified: Tue, 28 Oct 2003 09:58:25 GMT |
| 2003-10-29 13:14 | ISSKK Microsoft Windows RPCの脆弱点をついたワームの拡散を懸念 を改訂(ワームと思われる挙動について継続的な調査を行い、現段階ではワームの可能性は低いものと判断)
#Last-Modified: Wed, 29 Oct 2003 04:14:44 GMT |
| 2003-10-29 | NTTドコモ @FreeD ウィルス対策について (TCPポート135番の一部を遮断) |
| 2003-10-30 (米国日付) | シマンテック W32.HLLW.Gaobot.BT(*6e) を確認 |
| 2003-10-31 (米国日付) | シマンテック W32.HLLW.Gaobot.BV を確認 トレンドマイクロ WORM_AGOBOT.AO(*6e) を確認 |
| 2003-11-01 (米国日付) | シマンテック W32.HLLW.Gaobot.BZ を確認 |
| 2003-11-03 (米国日付) | トレンドマイクロ WORM_AGOBOT.BF を確認 |
| 2003-11-04 (米国日付) | シマンテック W32.HLLW.Gaobot.CA(*6f) を確認 |
| 2003-11-06 (米国日付) | トレンドマイクロ WORM_AGOBOT.AP を確認 |
| 2003-11-11 (米国日付) | トレンドマイクロ WORM_AGOBOT.CA(*6f) を確認 |
| 2003-11-17 (米国日付) | シマンテック W32.Francette.Worm を確認 |
| 2003-11-19 (米国日付) | トレンドマイクロ WORM_AGOBOT.AQ, WORM_AGOBOT.AR を確認 |
| 2003-11-20 (米国日付) | トレンドマイクロ WORM_AGOBOT.AS, WORM_AGOBOT.AT を確認 |
| 2003-11-21 (米国日付) | シマンテック W32.HLLW.Gaobot.DJ(*6g) を確認 |
| 2003-11-26 (米国日付) | トレンドマイクロ WORM_AGOBOT.AV(*6g), WORM_AGOBOT.AX を確認 |
| 2003-11-28 19:01 | @Police Blaster等ワームの継続的な活動について(11/28) を Web 公開
#Last-Modified: Fri, 28 Nov 2003 10:01:42 GMT |
| 2003-11-28 (米国日付) | トレンドマイクロ WORM_AGOBOT.AY, WORM_AGOBOT.AZ, WORM_AGOBOT.BB を確認 |
| 2003-11-29 (米国日付) | トレンドマイクロ WORM_AGOBOT.BD を確認 |
| 2003-12-03 (米国日付) | トレンドマイクロ WORM_AGOBOT.BG を確認 |
| 2003-12-05 (米国日付) | シマンテック W32.HLLW.Gaobot.DK(*6h) を確認 トレンドマイクロ WORM_AGOBOT.EU を確認 |
| 2003-12-07 (米国日付) | トレンドマイクロ WORM_AGOBOT.BK(*6h) を確認 |
| 2003-12-08 (米国日付) | トレンドマイクロ WORM_AGOBOT.BL を確認 |
| 2003-12-11 (米国日付) | シマンテック W32.HLLW.Gaobot.EE(*6i) を確認 |
| 2003-12-12 00:01 | @Police TCP139番ポートに対するトラフィックの増加について(12/11) を Web 公開 |
| 2003-12-12 00:34 | Core Security Technologies [CORE-2003-12-05] DCE RPC Vulnerabilities New Attack Vectors Analysis(MS03-001, MS03-026, MS03-043, MS03-049 に関する新たな攻略アプローチ) を Bugtraq に投稿
#Post-Date: Dec 11 2003 3:34PM |
| 2003-12-12 (米国日付) | トレンドマイクロ WORM_AGOBOT.DB を確認 |
| 2003-12-17 (米国日付) | トレンドマイクロ WORM_AGOBOT.CB を確認 |
| 2003-12-18 (米国日付) | トレンドマイクロ WORM_AGOBOT.EE(*6i) を確認 |
| 2003-12-19 12:13 | IPA/ISEC 年 末 年 始 警 報 を Web 公開
#Last-Modified: Fri, 19 Dec 2003 03:13:56 GMT |
| 2003-12-19 13:30 | JPCERT/CC 長期休暇を控えて を Web 公開
#Last-Modified: Fri, 19 Dec 2003 04:30:04 GMT |
| 2003-12-22 14:28 | @Police 国内のSlammer及びBlasterワームの感染活動に関するIPアドレス管理者への注意喚起について(12/22) を Web 公開
#Last-Modified: Mon, 22 Dec 2003 05:28:10 GMT |
| 2003-12-24 | Telecom-ISAC Japan 「年末 PC 大掃除」のお願い を Web 公開 |
| 2003-12-24 18:58 | 総務省 年末・年始における情報セキュリティ対策の緊急の注意喚起 を Web 公開
#Last-Modified: Wed, 24 Dec 2003 09:58:35 GMT |
| 2003-12-24 19:29 | 経産省 年末・年始における情報セキュリティ対策の緊急の注意喚起 を Web 公開
#Last-Modified: Wed, 24 Dec 2003 10:29:55 GMT |
| 2003-12-25 19:04 | 警察庁 年末・年始における情報セキュリティ対策の緊急の注意喚起 を Web 公開
#Last-Modified: Thu, 25 Dec 2003 10:04:32 GMT |
| 2003-12-31 (米国日付) | トレンドマイクロ WORM_AGOBOT.FY を確認 |
| 2004-01-01 | Welchia/Nachi (*5) 活動停止 ( Blaster (*3) の感染活動は継続するので留意のこと) |
| 2004-01-02 (米国日付) | トレンドマイクロ WORM_AGOBOT.BS を確認 |
| 2004-01-04 (米国日付) | シマンテック W32.HLLW.Gaobot.FB を確認 |
| 2004-01-06 | マイクロソフト Windows 2000 または Windows XP を実行するコンピュータから Blaster ワームまたは Nachi ワームを駆除するツールについて (KB833330) を Web 公開 |
| 2004-01-06 14:09 | @Police 年末年始におけるワームの活動状況について(01/06) を Web 公開 (ICMP パケットの検出件数は減少傾向にある)
#Last-Modified: Tue, 06 Jan 2004 05:09:33 GMT |
| 2004-01-06 (米国日付) | シマンテック W32.HLLW.Gaobot.FL を確認 トレンドマイクロ WORM_AGOBOT.BU, WORM_AGOBOT.CK, WORM_AGOBOT.FB を確認 |
| 2004-01-07 08:52 | JPCERT/CC インターネット定点観測システム Welchia/Nachi ワームの感染活動が減少していることを観測 を Web 公開 (1月1日(木) 以降、Welchia/Nachi ワームの感染活動が減少)
#Last-Modified: Tue, 06 Jan 2004 23:52:59 GMT |
| 2004-01-08 (米国日付) | トレンドマイクロ WORM_AGOBOT.CE, WORM_AGOBOT.FC を確認 |
| 2004-01-09 (米国日付) | トレンドマイクロ WORM_AGOBOT.CD, WORM_AGOBOT.FD を確認 |
| 2004-01-12 (米国日付) | シマンテック W32.HLLW.Gaobot.FQ を確認 トレンドマイクロ WORM_AGOBOT.CM を確認 |
| 2004-01-14 (米国日付) | トレンドマイクロ WORM_AGOBOT.CF を確認 |
| 2004-01-25 (米国日付) | トレンドマイクロ WORM_AGOBOT.FQ を確認 |
| 2004-01-26 (米国日付) | トレンドマイクロ WORM_AGOBOT.DG を確認 |
| 2004-02-11 (米国日付) | W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワーム 日本ネットワークアソシエイツ W32/Nachi.worm.b(*5b) を確認 シマンテック W32.Welchia.B.Worm(*5b) を確認 トレンドマイクロ WORM_NACHI.B(*5b) を確認 |
| 2004-02-12 (米国日付) | W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワーム トレンドマイクロ WORM_NACHI.C(*5c) を確認 |
| 2004-02-13 (米国日付) | 日本ネットワークアソシエイツ W32/Nachi.worm.c(*5c) を確認 |
| 2004-02-15 (米国日付) | シマンテック W32.Welchia.C.Worm(*5c) を確認 |
| 2004-02-23 (米国日付) | W32/Mydoom.A, W32/Mydoom.B, W32/Doomjuice.A, W32/Doomjuice.B の駆除を試みるワーム シマンテック W32.Welchia.D.Worm(*5d) を確認 |
| 2004-02-25 (米国日付) | トレンドマイクロ WORM_NACHI.D(*5d) を確認 |
| 2004-03-08 (米国日付) | トレンドマイクロ WORM_NACHI.F(*5f) を確認 |
| 2004-03-13 (米国日付) | トレンドマイクロ WORM_NACHI.E(*5e) を確認 |
| 2004-03-19 (米国日付) | トレンドマイクロ WORM_NACHI.G(*5g) を確認 |
| 2004-05-05 (米国日付) | シマンテック W32.Welchia.K.Worm(*5k) を確認 トレンドマイクロ WORM_NACHI.K(*5k) を確認 |
- CERT Advisory CA-2003-19
Exploitation of Vulnerabilities in Microsoft RPC Interface - Vendor Status Note JVNCA-2003-19
Microsoft Windows RPC の脆弱性を対象とする侵害活動
