公開日:2003.08.02 0:33 最終更新日:2004.05.17 13:14

TRCA-2003-19
Microsoft Windows RPC の脆弱性を対象とする侵害活動

概要


JVNCA-2003-16 で報告している Microsoft Windows の Remote Procedure Call (RPC) の実装に含まれる脆弱性を使った攻撃手法が公開され、その攻撃の試みと思われる不審なアクセスが増えています。
またこの脆弱性とは別の RPC の脆弱性を使ったサービス運用妨害 (denial-of-service, DoS) 攻撃の可能性も報告されています。

影響を受けるシステム
 - Microsoft Windows NT Workstation 4.0
 - Microsoft Windows NT Server 4.0
 - Microsoft Windows NT Server 4.0, Terminal Services Edition
 - Microsoft Windows 2000
 - Microsoft Windows XP
 - Microsoft Windows Server 2003

時系列イベント


日時 (JST)内容
2003-07-16 (米国日付)Microsoft Security Bulletin MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution (823980) の初版を Web 公開
#Affected-Port: 135/tcp
2003-07-17 AM ISS AlertCon ? => ?
SecurityFocus ThreatCON ? => ?
2003-07-17 マイクロソフト RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026) の初版を Web 公開
2003-07-17 04:12MS メーリングリスト経由で MS03-026 日本語版速報が届く
2003-07-17 05:14MS メーリングリスト経由で MS03-026 英語版が届く
2003-07-17 12:04@Police Windowsの脆弱性について(MS03-026) を Web 公開
#Last-Modified: Thu, 17 Jul 2003 03:04:24 GMT
2003-07-17 13:27BugTraq に "[LSD] Critical security vulnerability in Microsoft Operating Systems" が投稿される
#Post-Date: Jul 17 2003 4:27AM
2003-07-17 14:21First メーリングリスト経由で CA-2003-16 が届く
#Post-Date: Thu, 17 Jul 2003 14:13:49 JST
2003-07-17 14:46JPCERT メーリングリスト経由で CA-2003-16 の FYI が届く
#Post-Date: Thu, 17 Jul 2003 14:38:54 JST
2003-07-17 15:00CERT メーリングリスト経由で CA-2003-16 が届く
#Post-Date: Thu, 17 Jul 2003 14:16:05 JST
2003-07-17 16:57MS メーリングリスト経由で MS03-026 日本語版が届く
2003-07-18 (米国日付)MS03-026 の V1.1 版を Web 公開
#Affected-Port: 135,139,445/tcp
#Affected-Port: 135,139,445/udp
2003-07-18 PM ISS AlertCon ? => ?
2003-07-19 AM SecurityFocus ThreatCON ? => ?
2003-07-21 04:01Bugtraq に "Microsoft Windows 2000 RPC DCOM Interface DOS AND Privilege Escalation Vulnerability (VU#326746 の攻略)" が投稿される
#Cid: 07.21.MS03-026.c
#Cid: 07.21.win2kdos.c
#Tested: Windows 2000 [EN] + SP3
#Tested: Windows 2000 [EN] + SP4
#Notice: VU#326746 の脆弱性は、MS03-026 では除去されない。
#Post-Date: Jul 20 2003 7:01PM
2003-07-22 (米国日付)CERT/CC VU#326746 を準備
2003-07-22 AM ISS AlertCon ? => ?
SecurityFocus ThreatCON ? => ?
2003-07-23 ISSKK Microsoft Windows での RPC 実装の不具合 を Web 公開
2003-07-25 23:02"The Analysis of LSD's Buffer Overrun in Windows RPC Interface" が Web 公開される
#Cid: 07.25.winrpcdcom.c
#Tested: Windows 2000 [EN] + SP3
#Tested: Windows 2000 [EN] + SP4
#Tested: Windows XP [CN] + SP1
#Last-Modified: Fri, 25 Jul 2003 14:02:13 GMT
2003-07-26 AM ISS AlertCon ? => ?
2003-07-26 17:51eEye Digital Security Microsoft RPC DCOM Vulnerability Scanner をリリース (Bugtraq への投稿時刻 を参照)
#Post-Date: Jul 26 2003 8:51AM
2003-07-27 02:25BugTraq に "DCOM RPC exploit (dcom.c)" が投稿される
#Cid: dcom.c
#Post-Date: Jul 26 2003 5:25PM
2003-07-28 ISSKK 「Microsoft Windows での RPC 実装の不具合」に対する攻撃コード を Web 公開
2003-07-28 16:02exploitcoding に "dcom.c 日本語版対応" が投稿される
#Cid: dcom.c
#Post-Date: Mon, 28 Jul 2003 16:02:36 +0900
2003-07-28 17:48ラック SNS Spiffy Reviews No.6: Successful Reproduction of MS03-026 "Buffer Overrun In RPC Interface Could Allow Code Execution" on Japanese Environment を Web 公開
#Last-Modified: Mon, 28 Jul 2003 08:48:12 GMT
2003-07-29 AM ISS AlertCon ? => ?
2003-07-29 (米国日付)日本ネットワークアソシエイツ IRC-BBot を確認
2003-07-30 17:44ISSKK セキュリティ管理者向けツール MS03-026 RPC Vulnerability Scanner(Scanms) をリリース
#Last-Modified: Wed, 30 Jul 2003 08:44:38 GMT
2003-07-31 04:51Full-Disclosure に "RPC DCOM universal offsets" が投稿される
#Post-Date: Wed, 30 Jul 2003 12:51:33 -0700 (PDT)
2003-08-01 04:59"Windows RPC DCOM Remote Exploit with 48 TARGETS" が Web 公開される
#Cid: 07.30.dcom48.c
#Last-Modified: Thu, 31 Jul 2003 19:59:18 GMT
2003-08-01 05:38CERT/CC VU#326746 を Web 公開
#Date-First-Published: 07/31/2003 03:38:19 PM (EST)
2003-08-01 06:02First メーリングリスト経由で CA-2003-19 が届く
#Post-Date: 2003-08-01 05:58
2003-08-01 07:54CERT メーリングリスト経由で CA-2003-19 が届く
#Post-Date: 2003-08-01 05:59
2003-08-02 (米国日付)シマンテック Backdoor.IRC.Cirebot(*1) を確認
日本ネットワークアソシエイツ Downloader-DM(*1) を確認
2003-08-04 PM ISS AlertCon ? => ?
2003-08-05 17:40@Police TCP135番ポートに対するアクセスの急増について を Web 公開
#Last-Modified: Tue, 05 Aug 2003 08:40:35 GMT
2003-08-05 19:08経済産業省 情報セキュリティ政策室 Windows RPC インタフェースの脆弱性への注意喚起 を Web 公開
#Last-Modified: Tue, 05 Aug 2003 10:08:51 GMT
2003-08-05 (米国日付)シマンテック Backdoor.Hale, Backdoor.WinShell.50(*2) を確認
日本ネットワークアソシエイツ Stealther(*2)[MS03-026パッチを適用するトロイの木馬] を確認
トレンドマイクロ BKDR_CIREBOT.A(*1) を確認
2003-08-06 16:30ラック JSOC 緊急レポート(MS-RPC)[速報] を Web 公開
2003-08-06 (米国日付)トレンドマイクロ BKDR_CIREBOT.B(*1) を確認
シマンテック Trojan.Stealther.B(*2) を確認
2003-08-08 (米国日付)トレンドマイクロ TROJ_STEALTHER.A(*2) を確認
2003-08-11 (米国日付)シマンテック W32.Blaster.Worm(*3), Backdoor.WinShell.50.b(*2) を確認
日本ネットワークアソシエイツ W32/Lovsan.worm.a(*3) を確認
2003-08-11 14:47トレンドマイクロ WORM_MSBLAST.A(*3) を確認
2003-08-11
(early afternoon EDT)
SANS RPC DCOM WORM (MSBLASTER) の流布を報告
2003-08-11 (米国日付)日本ネットワークアソシエイツ W32/Spybot.worm.lz(*4) を確認
トレンドマイクロ WORM_RPCSDBOT.A(*4) を確認
2003-08-12 (米国日付)シマンテック W32.Randex.E(*4) を確認
2003-08-12 AM ISS AlertCon ? => ?
SecurityFocus ThreatCON ? => ?
2003-08-12 02:00@Police TCPの135番ポートに対するアクセスの急増 を確認
2003-08-12 05:20SecurityFocus DCOM worm analysis report: W32.Blaster.Worm (Ver.1) をリリース
2003-08-12 05:49BugTraq に "New Windows DCOM Worm - msblast.exe (fwd)" が投稿される
2003-08-12 06:36BugTraq に "DCOM worm analysis report: W32.Blaster.Worm" が投稿される
2003-08-12 07:00シマンテック W32.Blaster.Worm(*3) を Web 公開
2003-08-12 07:56@Police Windowsの脆弱性(MS03-026)を利用したワームの蔓延について を Web 公開 (W32.Blaster 動作概要)
#Last-Modified: Mon, 11 Aug 2003 22:56:44 GMT
2003-08-12 10:24トレンドマイクロ WORM_MSBLAST.A(*3) を Web 公開
2003-08-12 AM 日本ネットワークアソシエイツ W32/Lovsan.worm.a(*3) を Web 公開
マイクロソフト Blaster に関する情報 を Web 公開
2003-08-12 11:24First メーリングリスト経由で CA-2003-20 が届く
#Post-Date: Tue, 12 Aug 2003 11:19:57 JST
2003-08-12 11:43JPCERT メーリングリスト経由で CA-2003-20 の FYI が届く
#Post-Date: Tue, 12 Aug 2003 11:26:32 JST
2003-08-12 12:08CERT メーリングリスト経由で CA-2003-20 が届く
#Post-Date: Tue, 12 Aug 2003 11:21:18 JST
2003-08-12 12:36ISSKK MSRPC DCOM ワーム「MS Blast」の蔓延 を Web 公開
#Last-Modified: Tue, 12 Aug 2003 03:36:07 GMT
2003-08-12 12:46IPA/ISEC 「W32/MSBlaster」ワームに関する情報 を Web 公開
#Last-Modified: Tue, 12 Aug 2003 03:46:06 GMT
2003-08-12 15:30ラック JSOC 緊急レポート(Blaster または Lovsan ワーム) を Web 公開
2003-08-12 (米国日付)MS03-026 の V1.4 版を Web 公開
#Affected-Port: 135,139,445,593/tcp
#Affected-Port: 135,137,138,445/udp
#Affected-Port: 80,443/tcp(RPC over HTTP)
2003-08-13 10:18JPCERT メーリングリスト経由で TCP 135番ポートへのスキャンの増加に関する注意喚起 が届く
#Post-Date: Wed, 13 Aug 2003 10:07:13 JST
2003-08-13 17:00IPA/ISEC に寄せられている感染被害等による相談・届出は 120 件以上
2003-08-13 19:53経済産業省 情報セキュリティ政策室 「W32/MSBlaster」ワームに関する注意喚起, マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起 を Web 公開
#Last-Modified: Wed, 13 Aug 2003 10:53:44 GMT
2003-08-13 (米国日付)シマンテック W32.Blaster.B.Worm(*3b), W32.Blaster.C.Worm(*3c) を確認
日本ネットワークアソシエイツ W32/Lovsan.worm.b(*3b), W32/Lovsan.worm.c(*3c) を確認
2003-08-14 02:51トレンドマイクロ WORM_MSBLAST.B(*3b) を確認
2003-08-14 07:50トレンドマイクロ WORM_MSBLAST.C(*3c) を確認
2003-08-14 14:59eEye Digital Security View eEye's detailed comments of the Blaster Worm assembly code を Web 公開
#Last-Modified: Thu, 14 Aug 2003 05:11:59 GMT
2003-08-14 17:00IPA/ISEC に寄せられている感染被害等による相談・届出は 600 件以上
2003-08-14 17:24総務省 マイクロソフトWindowsの脆弱性を狙ったワームへの対応 を Web 公開
#Last-Modified: Thu, 14 Aug 2003 08:24:49 GMT
2003-08-15 12:00ラック システム管理者向け Blaster ワーム 盆休み明け対策ガイドライン, Blaster ワーム 対策ツール を Web 公開
2003-08-15 マイクロソフト KB 823980 Scanning Tool (修正プログラム 823980 (MS03-026) がインストールされていないコンピュータを特定するツール) をリリース
2003-08-15 17:00IPA/ISEC に寄せられている感染被害等による相談・届出は 累計で 900 件以上
2003-08-15 17:14@Police いわゆる「Blasterワーム」の攻撃活動について を Web 公開
#Last-Modified: Fri, 15 Aug 2003 08:14:18 GMT
2003-08-15 18:24JPCERT メーリングリスト経由で Windows RPC の脆弱性を使用するワームに関する注意喚起 が届く
#Post-Date: Fri, 15 Aug 2003 18:09:06 JST
2003-08-15 21:00ISSKK MSSリポート 「MS Blastワームの状況について」 を Web 公開
2003-08-15 21:53経済産業省 情報セキュリティ政策室 マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況(8月15日午後4時時点の状況) を Web 公開
#Last-Modified: Fri, 15 Aug 2003 12:53:43 GMT
2003-08-15 windowsupdate.com の A レコード削除 (Blaster.AのDDoS対象)
$ nslookup
> windowsupdate.com.
Server: dns1.cp.msft.net.
Address: 207.46.138.20#53

*** Can't find windowsupdate.com.: No answer
#Reference: @Police
#Reference: シマンテック
#Reference: CNET Japan
#Reference: ITmedia
2003-08-15 23:15ISSKK オーストラリアなどが 2003/8/16 00:00 を迎えたが、DDoS の発生兆候なし
2003-08-16 00:30ISSKK 日本 2003/8/16 00:00 を超えたが、DDoS の発生兆候なし
2003-08-16 02:01@Police いわゆる「Blasterワーム」の攻撃活動について(続報) を Web 公開
#Last-Modified: Fri, 15 Aug 2003 17:01:42 GMT
2003-08-16 10:24経済産業省 情報セキュリティ政策室 マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況について を Web 公開
#Last-Modified: Sat, 16 Aug 2003 01:24:08 GMT
2003-08-16 AM SecurityFocus ThreatCON ? => ?
2003-08-16 17:00IPA/ISEC に寄せられている感染被害等による相談・届出は 累計で 1,600 件以上
2003-08-16 20:12経済産業省 情報セキュリティ政策室 マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起について(その2) を Web 公開
#Last-Modified: Sat, 16 Aug 2003 11:12:25 GMT
2003-08-17 AM ISS AlertCon ? => ?
2003-08-17 17:00IPA/ISEC に寄せられている感染被害等による相談・届出は 累計で 1,800 件以上
2003-08-18 18:52@Police ICMPトラフィックの急増について(8/18) を Web 公開
#Last-Modified: Last-Modified: Mon, 18 Aug 2003 09:52:00 GMT
2003-08-18 21:45トレンドマイクロ WORM_NACHI.A(WORM_MSBLAST.D)(*5) を確認
2003-08-18 (米国日付)シマンテック W32.Welchia.Worm(*5), W32.Dinkdink.Worm を確認
日本ネットワークアソシエイツ W32/Nachi.worm(*5), W32/Lovsan.worm.d(*3d) を確認
トレンドマイクロ WORM_MSBLAST.D(WORM_MSBLAST.E)(*3d) を確認
2003-08-18 23:17SANS Increase in ICMP scans を報告
2003-08-18 23:36@Police ICMPトラフィックを急増させたワームについて(8/18) を Web 公開
#Last-Modified: Mon, 18 Aug 2003 14:36:40 GMT
2003-08-18 23:55ラック JSOC 緊急レポート(ICMP スキャンの増加について) を Web 公開
2003-08-19 AM SecurityFocus ThreatCON ? => ?
2003-08-19 13:16@Police ICMPトラフィックを急増させたワームの概要について(8/19), 「ワームの感染動作概要」等 を Web 公開
#Last-Modified: Tue, 19 Aug 2003 04:16:41 GMT
2003-08-19 17:37ISSKK MSRPC DCOM ワーム「MS Blast」の蔓延(Nachi ワームに関する情報追記) を Web 公開
#Last-Modified: Tue, 19 Aug 2003 06:37:36 GMT
2003-08-19 総務省 マイクロソフトWindowsの脆弱性を狙った新たなワームへの対応 を Web 公開
2003-08-19 19:08IPA/ISEC 新種「W32/Welchi」ワームに関する情報 を Web 公開
#Last-Modified: Tue, 19 Aug 2003 10:08:05 GMT
2003-08-20 14:44経済産業省 情報セキュリティ政策室 W32/BlasterおよびW32/Welchiの潜在的感染者に対する注意喚起 を Web 公開
#Last-Modified: Wed, 20 Aug 2003 05:44:47 GMT
2003-08-21 (米国日付)シマンテック W32.HLLW.Gaobot.AA(*6), Backdoor.IRC.RPCBot を確認
日本ネットワークアソシエイツ W32/Gaobot.worm.y(*6) を確認
2003-08-22 (米国日付)トレンドマイクロ WORM_AGOBOT.P(*6) を確認
シマンテック Backdoor.IRC.RPCBot.B を確認
2003-08-22 DDIポケット ウイルス 「WORM BLASTER」 流行の件 (TCP PORT135番 の通信を遮断) を Web 公開
2003-08-25 PM ISS AlertCon ? => ?
2003-08-26 (米国日付)シマンテック W32.HLLW.Raleka(*7) を確認
日本ネットワークアソシエイツ W32/Raleka.worm(*7) を確認
2003-08-26 AM SecurityFocus ThreatCON ? => ?
2003-08-27 (米国日付)トレンドマイクロ WORM_RALEKA.B(*7) を確認
2003-08-28 (米国日付)シマンテック W32.Blaster.E.Worm(*3e) を確認
日本ネットワークアソシエイツ W32/Lovsan.worm.e(*3e) を確認
Blaster.B(*3b) の容疑者逮捕
#Reference: ITmedia
2003-08-29 (米国日付)シマンテック Backdoor.IRC.RPCBot.C を確認
トレンドマイクロ WORM_MSBLAST.E(WORM_MSBLAST.F)(*3e), WORM_RALEKA.A(*7) を確認
2003-08-29 AM ISS AlertCon ? => ?
2003-08-29 kimble.org の A レコード変更 (Blaster.EのDDoS対象)
$ nslookup
> kimble.org.
Server: ns1.dnsresolve.net.
Address: 193.254.184.231#53

Name: kimble.org
Address: 127.0.0.1

> set type=SOA
> kimble.org.
kimble.org
    origin = ns1.dnsresolve.net
    mail addr = root.ns1.dnsresolve.net
    serial = 2003082501 (変更日は 2003-08-25 ではないかとの情報も by @Police)
    refresh = 40000
    retry = 7200
    expire = 604800
    minimum = 86400
#Reference: F-Secure
#Reference: @Police
2003-08-29 16:02@Police Windowsの脆弱性(MS03-026)を利用したワームについて(8/29) を Web 公開 [9/1 版に改訂のため削除]
#Last-Modified: Fri, 29 Aug 2003 07:02:07 GMT
2003-08-31 (米国日付)日本ネットワークアソシエイツ W32/Gaobot.worm.z(*6b) を確認
トレンドマイクロ WORM_AGOBOT.R(*6b) を確認
2003-09-01 18:23@Police Windowsの脆弱性(MS03-026)を利用したワームについて を Web 公開
#Last-Modified: Mon, 01 Sep 2003 09:23:53 GMT
2003-09-01 (米国日付)シマンテック W32.Blaster.F.Worm(*3f) を確認
日本ネットワークアソシエイツ W32/Lovsan.worm.f(*3f) を確認
トレンドマイクロ WORM_MSBLAST.F(WORM_MSBLAST.G)(*3f) を確認
2003-09-01 tuiasi.ro. の A レコードなし (Blaster.FのDDoS対象)
$ nslookup
> tuiasi.ro.
Server: ns1.tuiasi.ro.
Address: 193.231.15.152#53

*** Can't find tuiasi.ro.: No answer
#Reference: F-Secure
2003-09-02 (米国日付)シマンテック Backdoor.IRC.RPCBot.D を確認
2003-09-02 PM ISS AlertCon ? => ?
2003-09-03 AM SecurityFocus ThreatCON ? => ?
2003-09-03 13:25ISSKK Nachiに関する追加情報 を Web 公開
#Last-Modified: Wed, 03 Sep 2003 04:25:05 GMT
2003-09-03 Blaster.F(*3f) の容疑者逮捕報道
#Reference: impress
#Reference: HOTWIRED JAPAN
2003-09-05 (米国日付)シマンテック Backdoor.IRC.RPCBot.E を確認
2003-09-08 (米国日付)シマンテック W32.HLLW.Gaobot.AE を確認
2003-09-09 (米国日付)日本ネットワークアソシエイツ W32/Gaobot.worm.aa(*6c) を確認
トレンドマイクロ WORM_AGOBOT.AB(*6c) を確認
2003-09-10 (米国日付)Microsoft Security Bulletin MS03-039 Buffer Overrun In RPCSS Service Could Allow Code Execution (824146) の初版を Web 公開 (VU#326746 の脆弱性を除去)
2003-09-11 (米国日付)トレンドマイクロ WORM_AGOBOT.Z を確認
2003-09-16 NTTドコモ @FreeD ウィルス対策について (ICMPパケットの一部を遮断)
2003-09-16 (米国日付)シマンテック Backdoor.IRC.RPCBot.F, W32.HLLW.Gaobot.AF を確認
2003-09-17 トレンドマイクロ 検出名を変更
WORM_MSBLAST.D (パターン614〜) => WORM_NACHI.A (パターン631〜) (*5)
WORM_MSBLAST.E => WORM_MSBLAST.D (パターン633〜) (*3d)
WORM_MSBLAST.F => WORM_MSBLAST.E (パターン633〜) (*3e)
WORM_MSBLAST.G => WORM_MSBLAST.F (パターン633〜) (*3f)
2003-09-18 13:54IPA/ISEC W32/MSBlaster 及びW32/Welchi ウイルス被害に関する企業アンケート調査の結果について報告 を Web 公開
#Last-Modified: Thu, 18 Sep 2003 04:54:22 GMT
2003-09-23 (米国日付)シマンテック W32.HLLW.Gaobot.AG を確認
トレンドマイクロ WORM_AGOBOT.M を確認
2003-09-25 08:01@Police RPC DCOM 一連の経過をまとめた Windows RPC DCOMの脆弱性を利用したワームの発生について を Web 公開
#Last-Modified: Thu, 25 Sep 2003 01:01:21 GMT
2003-09-26 Spybot(*4) の容疑者逮捕
#Reference: ITmedia
2003-09-27 (米国日付)トレンドマイクロ WORM_AGOBOT.AA を確認
2003-09-29 (米国日付)シマンテック W32.HLLW.Gaobot.AN を確認
2003-09-30 (米国日付)シマンテック W32.HLLW.Gaobot.AO(*6d) を確認
トレンドマイクロ WORM_AGOBOT.H(*6d) を確認
2003-10-03 (米国日付)日本ネットワークアソシエイツ W32/Gaobot.worm.ai を確認
2003-10-04 (米国日付)トレンドマイクロ WORM_AGOBOT.AD を確認
2003-10-08 (米国日付)トレンドマイクロ WORM_DONK.B を確認
2003-10-09 (米国日付)日本ネットワークアソシエイツ W32/Gaobot.worm.ak(*6d) を確認
2003-10-10 (米国日付)シマンテック W32.HLLW.Gaobot.AP を確認
2003-10-16 (米国日付)シマンテック W32.HLLW.Gaobot.AZ を確認
2003-10-16 19:55@Police Blaster.EワームのDoS活動に起因すると考えられるトラフィックの増加についてまとめた 送信元IPアドレス127.0.0.1、送信元ポート80のTCPパケットの増加について を Web 公開
#Last-Modified: Thu, 16 Oct 2003 10:55:54 GMT
2003-10-23 (米国日付)シマンテック W32.HLLW.Gaobot.BB を確認
2003-10-24 (米国日付)シマンテック W32.HLLW.Gaobot.BC, W32.HLLW.Gaobot.BE を確認
2003-10-27 (米国日付)シマンテック W32.HLLW.Gaobot.BF, W32.HLLW.Gaobot.BH, W32.HLLW.Gaobot.BI を確認
2003-10-27 18:05BugTraq に "Nachi/Welchia/LovSan.D version 2 appears to be spreading" が投稿される
2003-10-28 (米国日付)シマンテック W32.HLLW.Gaobot.BM を確認
2003-10-28 18:58ISSKK Microsoft Windows RPCの脆弱点をついたワームの拡散を懸念 を Web 公開
#Last-Modified: Tue, 28 Oct 2003 09:58:25 GMT
2003-10-29 13:14ISSKK Microsoft Windows RPCの脆弱点をついたワームの拡散を懸念 を改訂(ワームと思われる挙動について継続的な調査を行い、現段階ではワームの可能性は低いものと判断)
#Last-Modified: Wed, 29 Oct 2003 04:14:44 GMT
2003-10-29 NTTドコモ @FreeD ウィルス対策について (TCPポート135番の一部を遮断)
2003-10-30 (米国日付)シマンテック W32.HLLW.Gaobot.BT(*6e) を確認
2003-10-31 (米国日付)シマンテック W32.HLLW.Gaobot.BV を確認
トレンドマイクロ WORM_AGOBOT.AO(*6e) を確認
2003-11-01 (米国日付)シマンテック W32.HLLW.Gaobot.BZ を確認
2003-11-03 (米国日付)トレンドマイクロ WORM_AGOBOT.BF を確認
2003-11-04 (米国日付)シマンテック W32.HLLW.Gaobot.CA(*6f) を確認
2003-11-06 (米国日付)トレンドマイクロ WORM_AGOBOT.AP を確認
2003-11-11 (米国日付)トレンドマイクロ WORM_AGOBOT.CA(*6f) を確認
2003-11-17 (米国日付)シマンテック W32.Francette.Worm を確認
2003-11-19 (米国日付)トレンドマイクロ WORM_AGOBOT.AQ, WORM_AGOBOT.AR を確認
2003-11-20 (米国日付)トレンドマイクロ WORM_AGOBOT.AS, WORM_AGOBOT.AT を確認
2003-11-21 (米国日付)シマンテック W32.HLLW.Gaobot.DJ(*6g) を確認
2003-11-26 (米国日付)トレンドマイクロ WORM_AGOBOT.AV(*6g), WORM_AGOBOT.AX を確認
2003-11-28 19:01@Police Blaster等ワームの継続的な活動について(11/28) を Web 公開
#Last-Modified: Fri, 28 Nov 2003 10:01:42 GMT
2003-11-28 (米国日付)トレンドマイクロ WORM_AGOBOT.AY, WORM_AGOBOT.AZ, WORM_AGOBOT.BB を確認
2003-11-29 (米国日付)トレンドマイクロ WORM_AGOBOT.BD を確認
2003-12-03 (米国日付)トレンドマイクロ WORM_AGOBOT.BG を確認
2003-12-05 (米国日付)シマンテック W32.HLLW.Gaobot.DK(*6h) を確認
トレンドマイクロ WORM_AGOBOT.EU を確認
2003-12-07 (米国日付)トレンドマイクロ WORM_AGOBOT.BK(*6h) を確認
2003-12-08 (米国日付)トレンドマイクロ WORM_AGOBOT.BL を確認
2003-12-11 (米国日付)シマンテック W32.HLLW.Gaobot.EE(*6i) を確認
2003-12-12 00:01@Police TCP139番ポートに対するトラフィックの増加について(12/11) を Web 公開
2003-12-12 00:34Core Security Technologies [CORE-2003-12-05] DCE RPC Vulnerabilities New Attack Vectors Analysis(MS03-001, MS03-026, MS03-043, MS03-049 に関する新たな攻略アプローチ) を Bugtraq に投稿
#Post-Date: Dec 11 2003 3:34PM
2003-12-12 (米国日付)トレンドマイクロ WORM_AGOBOT.DB を確認
2003-12-17 (米国日付)トレンドマイクロ WORM_AGOBOT.CB を確認
2003-12-18 (米国日付)トレンドマイクロ WORM_AGOBOT.EE(*6i) を確認
2003-12-19 12:13IPA/ISEC 年 末 年 始 警 報 を Web 公開
#Last-Modified: Fri, 19 Dec 2003 03:13:56 GMT
2003-12-19 13:30JPCERT/CC 長期休暇を控えて を Web 公開
#Last-Modified: Fri, 19 Dec 2003 04:30:04 GMT
2003-12-22 14:28@Police 国内のSlammer及びBlasterワームの感染活動に関するIPアドレス管理者への注意喚起について(12/22) を Web 公開
#Last-Modified: Mon, 22 Dec 2003 05:28:10 GMT
2003-12-24 Telecom-ISAC Japan 「年末 PC 大掃除」のお願い を Web 公開
2003-12-24 18:58総務省 年末・年始における情報セキュリティ対策の緊急の注意喚起 を Web 公開
#Last-Modified: Wed, 24 Dec 2003 09:58:35 GMT
2003-12-24 19:29経産省 年末・年始における情報セキュリティ対策の緊急の注意喚起 を Web 公開
#Last-Modified: Wed, 24 Dec 2003 10:29:55 GMT
2003-12-25 19:04警察庁 年末・年始における情報セキュリティ対策の緊急の注意喚起 を Web 公開
#Last-Modified: Thu, 25 Dec 2003 10:04:32 GMT
2003-12-31 (米国日付)トレンドマイクロ WORM_AGOBOT.FY を確認
2004-01-01 Welchia/Nachi (*5) 活動停止 ( Blaster (*3) の感染活動は継続するので留意のこと)
2004-01-02 (米国日付)トレンドマイクロ WORM_AGOBOT.BS を確認
2004-01-04 (米国日付)シマンテック W32.HLLW.Gaobot.FB を確認
2004-01-06 マイクロソフト Windows 2000 または Windows XP を実行するコンピュータから Blaster ワームまたは Nachi ワームを駆除するツールについて (KB833330) を Web 公開
2004-01-06 14:09@Police 年末年始におけるワームの活動状況について(01/06) を Web 公開 (ICMP パケットの検出件数は減少傾向にある)
#Last-Modified: Tue, 06 Jan 2004 05:09:33 GMT
2004-01-06 (米国日付)シマンテック W32.HLLW.Gaobot.FL を確認
トレンドマイクロ WORM_AGOBOT.BU, WORM_AGOBOT.CK, WORM_AGOBOT.FB を確認
2004-01-07 08:52JPCERT/CC インターネット定点観測システム Welchia/Nachi ワームの感染活動が減少していることを観測 を Web 公開 (1月1日(木) 以降、Welchia/Nachi ワームの感染活動が減少)
#Last-Modified: Tue, 06 Jan 2004 23:52:59 GMT
2004-01-08 (米国日付)トレンドマイクロ WORM_AGOBOT.CE, WORM_AGOBOT.FC を確認
2004-01-09 (米国日付)トレンドマイクロ WORM_AGOBOT.CD, WORM_AGOBOT.FD を確認
2004-01-12 (米国日付)シマンテック W32.HLLW.Gaobot.FQ を確認
トレンドマイクロ WORM_AGOBOT.CM を確認
2004-01-14 (米国日付)トレンドマイクロ WORM_AGOBOT.CF を確認
2004-01-25 (米国日付)トレンドマイクロ WORM_AGOBOT.FQ を確認
2004-01-26 (米国日付)トレンドマイクロ WORM_AGOBOT.DG を確認
2004-02-11 (米国日付)W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワーム
日本ネットワークアソシエイツ W32/Nachi.worm.b(*5b) を確認
シマンテック W32.Welchia.B.Worm(*5b) を確認
トレンドマイクロ WORM_NACHI.B(*5b) を確認
2004-02-12 (米国日付)W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワーム
トレンドマイクロ WORM_NACHI.C(*5c) を確認
2004-02-13 (米国日付)日本ネットワークアソシエイツ W32/Nachi.worm.c(*5c) を確認
2004-02-15 (米国日付)シマンテック W32.Welchia.C.Worm(*5c) を確認
2004-02-23 (米国日付)W32/Mydoom.A, W32/Mydoom.B, W32/Doomjuice.A, W32/Doomjuice.B の駆除を試みるワーム
シマンテック W32.Welchia.D.Worm(*5d) を確認
2004-02-25 (米国日付)トレンドマイクロ WORM_NACHI.D(*5d) を確認
2004-03-08 (米国日付)トレンドマイクロ WORM_NACHI.F(*5f) を確認
2004-03-13 (米国日付)トレンドマイクロ WORM_NACHI.E(*5e) を確認
2004-03-19 (米国日付)トレンドマイクロ WORM_NACHI.G(*5g) を確認
2004-05-05 (米国日付)シマンテック W32.Welchia.K.Worm(*5k) を確認
トレンドマイクロ WORM_NACHI.K(*5k) を確認

No.名称コード内に含まれる文字列MS#使用ポート作成ファイル
*1Cirebot
Backdoor.IRC.Cirebot
Downloader-DM
BKDR_CIREBOT.A
BKDR_CIREBOT.B
rpc autorooter by ERIC MS03-026 445,57005/tcp
69/udp
rpc.exe
rpctest.exe
tftpd.exe
*2Stealther
Backdoor.WinShell.50
Backdoor.WinShell.50.b
Trojan.Stealther.B
Stealther
TROJ_STEALTHER.A
  MS03-026 8719/tcpcsrs*.exe
update.exe
*3Blaster
W32.Blaster.Worm
W32/Lovsan.worm.a
WORM_MSBLAST.A
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
MS03-026 135,4444/tcp
69/udp
msblast.exe
*3bBlaster.B
W32.Blaster.B.Worm
W32/Lovsan.worm.b
WORM_MSBLAST.B
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
MS03-026 135,4444/tcp
69/udp
penis32.exe
*3cBlaster.C
W32.Blaster.C.Worm
W32/Lovsan.worm.c
WORM_MSBLAST.C
Microsoft can suck my left testi! Bill Gates can suck my right testi! And All Antivirus Makers Can Suck My Big Fat Cock MS03-026 135,4444/tcp
69/udp
teekids.exe
*3dBlaster.D
W32/Lovsan.worm.d
WORM_MSBLAST.D
(WORM_MSBLAST.E)
"This is a patch to fixedRPC Problem! Your computer has been Protected by me. Your have not need update your Windows XP.." MS03-026 135,4444/tcp
69/udp
mspatch.exe
*3eBlaster.E
W32.Blaster.E.Worm
W32/Lovsan.worm.e
WORM_MSBLAST.E
(WORM_MSBLAST.F)
I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!! MS03-026 135,4444/tcp
69/udp
mslaugh.exe
*3fBlaster.F
W32.Blaster.F.Worm
W32/Lovsan.worm.f
WORM_MSBLAST.F
(WORM_MSBLAST.G)
Nu datzi la fuckultatea de Hidrotehnica!
!!Pierdetzi timp ul degeaba...Birsan te cheama pensia!!!
Ma pis pe diploma!!!!!!.
MS03-026 135,4444/tcp
69/udp
enbiei.exe
*4Spybot
W32.Randex.E
W32/Spybot.worm.lz
WORM_RPCSDBOT.A
  MS03-026 135,4444/tcp
69/udp
winlogin.exe
yuetyutr.dll
*5Welchia,Nachi
W32.Welchia.Worm
W32/Nachi.worm
WORM_NACHI.A
(WORM_MSBLAST.D)
=========== I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli~~~=========== wins MS03-007
MS03-026
80,135/tcpdllhost.exe
svchost.exe
*5bWelchia.B,Nachi.B
W32.Welchia.B.Worm
W32/Nachi.worm.b
WORM_NACHI.B
  MS03-007
MS03-026
MS03-049
80,135,445/tcpsvchost.exe
*5cWelchia.C,Nachi.C
W32.Welchia.C.Worm
W32/Nachi.worm.c
WORM_NACHI.C
  MS03-007
MS03-026
MS03-049
80,135,445/tcpsvchost.exe
*5dWelchia.D,Nachi.D
W32.Welchia.D.Worm
WORM_NACHI.D
  MS03-007
MS03-026
MS03-049
80,135,445,3127/tcpsvchost.exe
*5eWelchia.E,Nachi.E
WORM_NACHI.E
  MS03-007
MS03-026
MS03-049
80,135,445/tcpsvchost.exe
*5fWelchia.F,Nachi.F
WORM_NACHI.F
  MS03-001
MS03-007
MS03-026
MS03-049
80,135,445/tcpsvchost.exe
*5gWelchia.G,Nachi.G
WORM_NACHI.G
  MS03-001
MS03-007
MS03-026
MS03-049
80,135,445/tcpsvchost.exe
*5kWelchia.K,Nachi.K
W32.Welchia.K.Worm
WORM_NACHI.K
  MS03-001
MS03-007
MS03-026
MS03-049
80,135,445,3127/tcpsvchost.exe
(svhosts.exe)
*6Gaobot
W32.HLLW.Gaobot.AA
W32/Gaobot.worm.y
WORM_AGOBOT.P
Agobot3 0.1.0 Alpha MS03-001
MS03-026
135,445,22226/tcpsvchosl.exe
winhl32.exe
*6bGaobot
W32/Gaobot.worm.z
WORM_AGOBOT.R
  MS03-001
MS03-026
135,445,22227/tcpsvchos1.exe
rpcfix.exe
*6cGaobot
W32/Gaobot.worm.aa
WORM_AGOBOT.AB
  MS03-001
MS03-026
135,445,5599/tcpscvhost.exe
*6dGaobot
W32.HLLW.Gaobot.AO
W32/Gaobot.worm.ak
WORM_AGOBOT.H
  MS03-001
MS03-026
135,445/tcplsas.exe
*6eGaobot
W32.HLLW.Gaobot.BT
WORM_AGOBOT.AO
  MS03-001
MS03-007
MS03-026
80,135,445/tcpexplores.exe
*6fGaobot
W32.HLLW.Gaobot.CA
WORM_AGOBOT.CA
  MS03-001
MS03-007
MS03-026
80,135,445/tcpwstart32.exe
*6gGaobot
W32.HLLW.Gaobot.DJ
WORM_AGOBOT.AV
  MS03-001
MS03-007
MS03-026
80,135,445/tcpcart322.exe
*6hGaobot
W32.HLLW.Gaobot.DK
WORM_AGOBOT.BK
  MS03-001
MS03-007
MS03-026
80,135,445/tcpsvchos1.exe
*6iGaobot
W32.HLLW.Gaobot.EE
WORM_AGOBOT.EE
  MS03-001
MS03-007
MS03-026
80,135,445/tcpsmssnt.exe
*7Raleka
W32.HLLW.Raleka
W32/Raleka.worm
WORM_RALEKA.B
WORM_RALEKA.A
BenderBOT MS03-026 135,6667,36286/tcpntrootkit.exe

参考情報


  1. CERT Advisory CA-2003-19
    Exploitation of Vulnerabilities in Microsoft RPC Interface
  2. Vendor Status Note JVNCA-2003-19
    Microsoft Windows RPC の脆弱性を対象とする侵害活動