W32/Blaster Worm (ウイルスやワームに関するグループ)

Yasushi Shinjo

unread,

Aug 16, 2003, 2:13:27 PM8/16/03

to

新城＠筑波大学情報です。こんにちは。

In article <bhlblr$2kk5$1...@news2.wakwak.com>
"Tomoya Miyoshi" <tm...@ag.wakwak.com> writes:
> 最近MSブラストについてマスコミで報道されているのを多く目にしますが、内容的に
> 満足がいかないことが少なくありません。

具体的にどの辺りが不満でしょうか。

> こういったワームやウイルスについてのニュースグループはfjにないでしょうか？

はい。fj.comp.security がいいんじゃないでしょうか。今回は、
Windows 2000/XP なので、システム固有の話なら、
fj.os.ms-windows.win2000 とかfj.os.ms-windows.xp とか、
fj.os.ms-windows.misc でもいいです。
とりあえず、Followup-To: fj.comp.security にしておきます。

DCOM なんかデフォルトで閉じている設計だったら、平気だったのに。

http://www.microsoft.com/japan/technet/security/virus/blaster.asp#workaround

デフォルトで安全側に倒すという設計は、マイクロソフト自信が頑
張ってやるぞと決意表明していたのを見た覚えがあります。あれは
どうなったんでしょうか。

個人的には、日常的使っているのは、Unix 系と MacOSX なので、
今回の W32/Blaster Worm に関しては全然平気なんだけれど。

Blaster って、誰が名前を付けたんでしょうね。
DDoS 攻撃をするという話はどうなったんでしょうか。

パッチを当るには、ネットワークにつながないといけないけれど、
つないだ瞬間にやられてしまうというのは、なかなか大変でした。

住民基本台帳ネットワークのものは、ちゃんとパッチが当っている
んでしょうか。

＼＼　新城　靖　（しんじょう　やすし）　＼＼
＼＼　筑波大学　電子・情報　　　　　　　＼＼

Tomoya Miyoshi

unread,

Aug 17, 2003, 12:59:32 PM8/17/03

to

"Yasushi Shinjo" <y...@is.tsukuba.ac.jp> wrote in message
news:YAS.03Au...@kirk.is.tsukuba.ac.jp...

> 新城＠筑波大学情報です。こんにちは。
>
> In article <bhlblr$2kk5$1...@news2.wakwak.com>
> "Tomoya Miyoshi" <tm...@ag.wakwak.com> writes:
> > 最近MSブラストについてマスコミで報道されているのを多く目にしますが、内容
的に
> > 満足がいかないことが少なくありません。
>
> 具体的にどの辺りが不満でしょうか。

報道では、ネタ的に経済産業省の報道資料
URL:http://www.meti.go.jp/kohosys/press/0004399/ が使われたのではないかと思いますが、「常時接続しているユーザーを狙った」とか「勝手に終了してしまう」といった耳に付き易い言葉が使われていました。確かにワームの拡散を防ぐための注意喚起
としては役に立つのかもしれませんが、感染方法の詳細がわからず、パケットのフィ
ルタリングで防げるのか、アンチウイルスソフトで防げるのかもわかりませんでし
た。

ウイルスとワームの区別をつけていないのも気になります。朝日新聞
URL:http://www.asahi.com/special/pcvirus/ はMSブラストをまだ「ウイルス」と呼んでいます。ワームであればアンチウイルスソフトが利かないの
で、ワームかウイルスかといった情報は重要だと思うのですが。

ワームの出現はモリスワーム以来じゃないかと思うんですが、この興味を満たしてく
れる報道も見かけません。

[snip]
> DDoS 攻撃をするという話はどうなったんでしょうか。

マイクロソフトはワームに含まれていた攻撃対象のIPアドレスをWindows Updateの
サーバへリダイレクトしないよう対処したそうです。

> パッチを当るには、ネットワークにつながないといけないけれど、
> つないだ瞬間にやられてしまうというのは、なかなか大変でした。

「感染しているようだったらネットワークから切り離して、感染していない友人から
駆除ツールをもらいなさい」とNHKが言ってましたけど、たいていの人にとっては無
茶です（＾＾；マイクロソフトのサイトにはもう少し現実的な対策方法が書かれて
いますけど、簡単な方法ではないですよね。

> 住民基本台帳ネットワークのものは、ちゃんとパッチが当っている
> んでしょうか。

「(総務)省市町村課は『ファイアーウオールによって、今回のウイルスが攻撃する経
路は元々閉じていたので、住基ネットのサーバーそのものが感染することは世田谷区
も含めてありえない』と話している。」
URL:http://www.asahi.com/special/pcvirus/TKY200308140260.html だそうです。

Shibuya, Nobuhiro

unread,

Aug 17, 2003, 1:07:20 PM8/17/03

to

Tomoya Miyoshi wrote:

> ワームの出現はモリスワーム以来じゃないかと思うんですが、この興味を満たしてく
> れる報道も見かけません。

ダウト。
W32/SQLSlammerが今年の１月下旬の韓国のインターネットを
事実上停止させたことをはじめいろいろあります。
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩

Hoshi Takanori

unread,

Aug 18, 2003, 5:27:33 AM8/18/03

to

ほしです。

In article <bhoc9q$dbi$1...@news2.wakwak.com>
"Tomoya Miyoshi" <tm...@ag.wakwak.com> writes:

> ウイルスとワームの区別をつけていないのも気になります。

ウィルスとワームの区別って、少なくとも一般人にとっては、
すでにあんまり意味がないと思いますけど。

＃もちろん、技術屋さんには重要なんだけど、ふつ～の人に
＃とっては、「勝手にコンピュータに入り込んで悪さをする
＃もの」という意味では大差ないので。

＃でもって、それらを総称する言葉として、「ウィルス」
＃ないし「コンピュータウィルス」というのがすでに定着
＃しちゃってるわけで...

＃＃ってな話しは fj.net.words に振るべき？ ;-)

> ワームであればアンチウイルスソフトが利かないの
> で、ワームかウイルスかといった情報は重要だと思うのですが。

ほとんどのアンチウィルス製品は、今回のものを含めて、
ワームにも対応していますよ。

＃いわゆるスパイウェア (ちゃんとインストール時に確認を
＃求められるもの) には、対応してない (というか、下手に
＃対応すると逆に訴えられたりする) 場合もあるので、その
＃区別の方が重要じゃないかなぁ...

＃＃ウィルスとワームを下手に区別しちゃうと、逆にこういう
＃＃誤解を招くおそれもあるし。;-p

ほし

Yasushi Shinjo

unread,

Aug 18, 2003, 6:14:03 AM8/18/03

to

新城＠筑波大学情報です。こんにちは。

In article <bhoc9q$dbi$1...@news2.wakwak.com>
"Tomoya Miyoshi" <tm...@ag.wakwak.com> writes:

> 報道では、ネタ的に経済産業省の報道資料
...

> 「感染しているようだったらネットワークから切り離して、感染していない友人から
> 駆除ツールをもらいなさい」とNHKが言ってましたけど、たいていの人にとっては無
> 茶です（＾＾；マイクロソフトのサイトにはもう少し現実的な対策方法が書かれて
> いますけど、簡単な方法ではないですよね。

テレビや新聞だと、「こういう話があります」くらいしか伝わらな
いでしょうね。あとは、CERT とか IPA なんかを見ないと。でも、
それを見るには、WWW ブラウザが必要で、それには、ネットワーク
につながないといけないわけで、、、と boot strap はどうするん
でしょうね。

> ウイルスとワームの区別をつけていないのも気になります。朝日新聞
> URL:http://www.asahi.com/special/pcvirus/ はMSブラストをまだ「ウイルス」と呼んでいます。ワームであればアンチウイルスソフトが利かないの
> で、ワームかウイルスかといった情報は重要だと思うのですが。

ウイルスは、個々までくると一般用語でしょうね。ウイルス(一般
用語)を細かく見ると、ウイルス（専門用語）とワームとトロイの
木馬がいると。

> [snip]
> > DDoS 攻撃をするという話はどうなったんでしょうか。
> マイクロソフトはワームに含まれていた攻撃対象のIPアドレスをWindows Updateの
> サーバへリダイレクトしないよう対処したそうです。

IP アドレスの redirect って何でしょうか。
HTTP の redirect ならわかるのですが。

DNS の alias を切ったのかと思っていました。ワームがたまたま
古いアドレスを使っていたので。

> 「(総務)省市町村課は『ファイアーウオールによって、今回のウイルスが攻撃する経
> 路は元々閉じていたので、住基ネットのサーバーそのものが感染することは世田谷区
> も含めてありえない』と話している。」
> URL:http://www.asahi.com/special/pcvirus/TKY200308140260.html だそうです。

私が知りたいのは、ちゃんとパッチが当っていたかどうかなんです
が、誰か知りませんか？　今回の話は、７月に出たパッチが当って
いたら、ＯＫ、当っていなければアウトです。パッチを当る体制が
うまくできていたかどうかということが問題なんです。

総務省の言っているのは、ファイアウォールを閉じてある（つもり）、
というのが正確な所なんでしょうね。実施するのは人間だから。
あと、外で感染したＰＣを、ファイアウォールの内側に持ち込むと
終りです。ファイアウォールでは、今回のものは防げなくて、単に
時間かせぎができるだけです。

In article <HOSHI.03A...@ext54.sra.co.jp>

ho...@sra.co.jp (Hoshi Takanori) writes:
> > ワームであればアンチウイルスソフトが利かないの
> > で、ワームかウイルスかといった情報は重要だと思うのですが。
> ほとんどのアンチウィルス製品は、今回のものを含めて、
> ワームにも対応していますよ。

具体的に、どういう技術で「対応」できていたのでしょうか。

私の理解する所では、今回の攻撃は、サーバかカーネルの深い所の
話なので、ウイルス対策ソフトウェアが働く場面は存在しないよう
に思えます。

Takashi SAKAMOTO

unread,

Aug 18, 2003, 7:47:17 AM8/18/03

to

"Yasushi Shinjo" <y...@is.tsukuba.ac.jp> wrote in message
news:YAS.03Au...@kirk.is.tsukuba.ac.jp...

> 具体的に、どういう技術で「対応」できていたのでしょうか。

>
> 私の理解する所では、今回の攻撃は、サーバかカーネルの深い所の
> 話なので、ウイルス対策ソフトウェアが働く場面は存在しないよう
> に思えます。

Antivirus Software は firewall 機能を持っていることが多いです。ですから、
135/TCP をブロックすることで、MSBlaster の攻撃を防ぐことができます。

また、仮に firewall 機能が働かなかった(存在しなかった)としても、
この MSBlaster はレジストリに Windows が起動した時に起動するように
するというベタなコードを書いています。そこは Antivirus Software が
一番最初に block する場所です。
Windows を再起動させることなく、MSBlaster が動作すれば良いのでしょう
けれど、WindowsXP の default では RPC service が不安定になった場合
には再起動することになっています。

従って、攻撃は受けて、ファイルは何処か… System folder の下か何処か
に書かれてしまうでしょうけれど、そこから先のことは出来ないと推測でき
ます。
--
---
Takashi SAKAMOTO (PXG0...@nifty.ne.jp)

Hoshi Takanori

unread,

Aug 18, 2003, 7:36:31 AM8/18/03

to

ほしです。

In article <YAS.03Au...@kirk.is.tsukuba.ac.jp>
y...@is.tsukuba.ac.jp (Yasushi Shinjo) writes:

> > ほとんどのアンチウィルス製品は、今回のものを含めて、
> > ワームにも対応していますよ。
>
> 具体的に、どういう技術で「対応」できていたのでしょうか。

ぼくは「発見と駆除」の意味で「対応」と書きました。
今回のワームに対する「防御」は無理かも知れませんね。
失礼しました。

＃ただ、Klez や Hybris などのメールで感染するものも
＃分類上は「ワーム」とされることが多いようなので、
＃「ワームであればアンチウイルスソフトが利かない」
＃ということにはならないと思います。

ほし

IIJIMA Hiromitsu

unread,

Aug 18, 2003, 9:28:41 AM8/18/03

to

いいじまです。

> > ウイルスとワームの区別をつけていないのも気になります。
...

> ウイルスは、個々までくると一般用語でしょうね。ウイルス(一般
> 用語)を細かく見ると、ウイルス（専門用語）とワームとトロイの
> 木馬がいると。

御意。

> > 「(総務)省市町村課は『ファイアーウオールによって、今回のウイルスが攻撃する経
> > 路は元々閉じていたので、住基ネットのサーバーそのものが感染することは世田谷区
> > も含めてありえない』と話している。」
> > URL:http://www.asahi.com/special/pcvirus/TKY200308140260.html だそうです。
>
> 私が知りたいのは、ちゃんとパッチが当っていたかどうかなんです
> が、誰か知りませんか？　今回の話は、７月に出たパッチが当って
> いたら、ＯＫ、当っていなければアウトです。パッチを当る体制が
> うまくできていたかどうかということが問題なんです。

世田谷区独自の（住基ネットでないほうの）LAN では、2000 台くらいあるマシン
のうち、感染したマシンが百台単位で存在していて、ぜんぶ駆除したとか。この
百台単位の中にどれだけ区の所有のマシンがあって、どれだけ職員個人が持ち込
んだものがあるのかがわからないのですが、残念ながら体制は不十分といわざる
を得ないですね。

物理的に切り離すという初期対応は穏当だったと思いますが、「喉元すぎれば熱
さ忘れる」で終わりそうな臭いがぷんぷんしますね。

セキュリティパッチまで出た段階でシステム管理者は全マシンにポートスキャン
をかける、

> 私の理解する所では、今回の攻撃は、サーバかカーネルの深い所の
> 話なので、ウイルス対策ソフトウェアが働く場面は存在しないよう
> に思えます。

今回に関しては同意見です。アンチウイルスソフトというよりは、穴になりかね
ないポートへの外部からのアクセスをルーターで遮断するほうが効果的ですね。
それでも、

> あと、外で感染したＰＣを、ファイアウォールの内側に持ち込むと
> 終りです。

となるわけです。

☆

あと、これは Windows 固有の話になりますが、ご存じない方もいらっしゃると
思うので書いておくと、WindowsUpdate では、自機のバージョンに関係なく、
Windows のすべてのバージョン（ただしサポート切れになっていないものに限る）
用のパッチをダウンロードして、ローカルに保存しておくことができます。たと
えば、私のマシンは Windows Me ですが、このマシンで Windows 2000 用のパッ
チをダウンロードできます。そのパッチは、Windows 2000 マシンに持っていけば
当てることができます。

どこかにパッチ保管用のマシンを用意して、定期的にすべてのパッチをダウン
ロードして LAN 内部に置いておく、というのもひとつの対策ですね。

========================================================================
飯嶋浩光 / でるもんた・いいじま http://www.ht.sakura.ne.jp/~delmonta/
IIJIMA Hiromitsu, aka Delmonta mailto:delm...@ht.sakura.ne.jp

───【宣伝/ADVERTISEMENT】──────────────────────
fj.os.ms-windows.server2003 または fj.os.ms-windows.server の新設の可否
を問う投票を実施中です。
fj.news.group.comp をご参照のうえ、ふるってご投票ください。
投票期限は 8/25(月)です。
────────────────────────────────────

Tomoya Miyoshi

unread,

Aug 18, 2003, 11:46:56 AM8/18/03

to

三好@愛媛県です。

"Yasushi Shinjo" <y...@is.tsukuba.ac.jp> wrote in message
news:YAS.03Au...@kirk.is.tsukuba.ac.jp...

> 新城＠筑波大学情報です。こんにちは。
>
> In article <bhoc9q$dbi$1...@news2.wakwak.com>
> "Tomoya Miyoshi" <tm...@ag.wakwak.com> writes:
> > 報道では、ネタ的に経済産業省の報道資料
> ...
> > 「感染しているようだったらネットワークから切り離して、感染していない友人
から
> > 駆除ツールをもらいなさい」とNHKが言ってましたけど、たいていの人にとって
は無
> > 茶です（＾＾；マイクロソフトのサイトにはもう少し現実的な対策方法が書か
れて
> > いますけど、簡単な方法ではないですよね。
>
> テレビや新聞だと、「こういう話があります」くらいしか伝わらな
> いでしょうね。あとは、CERT とか IPA なんかを見ないと。でも、
> それを見るには、WWW ブラウザが必要で、それには、ネットワーク
> につながないといけないわけで、、、と boot strap はどうするん
> でしょうね。

マイクロソフトのサイトからネットブート… (無理無理(^^;)

> > ウイルスとワームの区別をつけていないのも気になります。朝日新聞
> > URL:http://www.asahi.com/special/pcvirus/ はMSブラストをまだ「ウイルス」
と呼ん
> >でいます。ワームであればアンチウイルスソフトが利かないので、ワームかウイ
ルス
> > かといった情報は重要だと思うのですが。
>
> ウイルスは、個々までくると一般用語でしょうね。ウイルス(一般
> 用語)を細かく見ると、ウイルス（専門用語）とワームとトロイの
> 木馬がいると。

そうみたいですね。
私としては自分の環境で感染するかしないか判断するための材料が欲しいだけなの
で、感染方法の詳細さえわかれば「ウイルス」と一口に言われても困りはしないか
も。

> > > DDoS 攻撃をするという話はどうなったんでしょうか。
> > マイクロソフトはワームに含まれていた攻撃対象のIPアドレスをWindows Update

の
> > サーバへリダイレクトしないよう対処したそうです。
>
> IP アドレスの redirect って何でしょうか。
> HTTP の redirect ならわかるのですが。
>
> DNS の alias を切ったのかと思っていました。ワームがたまたま
> 古いアドレスを使っていたので。

ごめんなさい。IPアドレス云々は勘違いで、おっしゃる通りWindows Updateを示す古
い名前で引いても正しいサイトのIPアドレスを返すようにマイクロソフトが設定して
いたのを中止したということです。
URL:http://www.cyberpolice.go.jp/important/20030816_020142.html

> 私が知りたいのは、ちゃんとパッチが当っていたかどうかなんです
> が、誰か知りませんか？　今回の話は、７月に出たパッチが当って
> いたら、ＯＫ、当っていなければアウトです。パッチを当る体制が
> うまくできていたかどうかということが問題なんです。

パッチを当てるとそれまで正常に動作していたプログラムが異常を起こすケースがあ
ることから、私は必ずしも最新のパッチを当てることが正解とは思いません。
でも、OSベンダーが公表しているパッチの適用をどのように判断しているか - とい
う部分には興味を引かれますね。

Tomoya Miyoshi

unread,

Aug 18, 2003, 11:52:18 AM8/18/03

to

三好@愛媛県です。

"Hoshi Takanori" <ho...@sra.co.jp> wrote in message
news:HOSHI.03A...@ext54.sra.co.jp...
[snip]

> ＃ただ、Klez や Hybris などのメールで感染するものも
> ＃分類上は「ワーム」とされることが多いようなので、
> ＃「ワームであればアンチウイルスソフトが利かない」
> ＃ということにはならないと思います。

同意します。

アンチウイルスソフトが利く場合と利かない場合って、どう分類すると判り易いです
かね。ウイルスを捕まえるタイミングがある場合と無い場合ってことになるかと思う
んだけど。

IIJIMA Hiromitsu

unread,

Aug 18, 2003, 12:17:54 PM8/18/03

to

いいじまです。

> > テレビや新聞だと、「こういう話があります」くらいしか伝わらな
> > いでしょうね。あとは、CERT とか IPA なんかを見ないと。でも、
> > それを見るには、WWW ブラウザが必要で、それには、ネットワーク
> > につながないといけないわけで、、、と boot strap はどうするん
> > でしょうね。
>
> マイクロソフトのサイトからネットブート… (無理無理(^^;)

CD-ROM ドライブに Knoppix（CD 駆動可能な Linux）をつっこんで起動して、
Knoppix 上のブラウザから該当するパッチだけをダウンロード、それをハード
ディスクなりフロッピーなりに落として（Knoppix って NTFS に書き込めた
かな？）、こんどはネットワークから切り離して Windows をブートし、パッチ
を当ててからネットワークにつないで WindowsUpdate を一通り。

こういうときのために、CD 起動で動くレスキュー環境を用意しておくのです :-)

まあ、そんなことをしなくても、どこかに Windows 95/98/Me の動いているマシ
ンがあれば、そちらから WindowsUpdate につないでパッチを落とせますけど。

Yasushi Shinjo

unread,

Aug 18, 2003, 12:28:58 PM8/18/03

to

新城＠筑波大学情報です。

In article <bhqecd$nvo$1...@news521.nifty.com>

"Takashi SAKAMOTO" <PXG0...@nifty.ne.jp> writes:
> Antivirus Software は firewall 機能を持っていることが多いです。ですから、
> 135/TCP をブロックすることで、MSBlaster の攻撃を防ぐことができます。

最初から 135 番を開けとくなということなんだけどね。これを止
めても平気なコンピュータが多いということは。使っている時には、
開けないといけないから、ここでは防げません。

> また、仮に firewall 機能が働かなかった(存在しなかった)としても、
> この MSBlaster はレジストリに Windows が起動した時に起動するように
> するというベタなコードを書いています。そこは Antivirus Software が
> 一番最初に block する場所です。

結局、今回はたまたま MSBlaster のコードが甘かったから対応で
きたということですか。この間の Slammer でしたっけ、レジスト
リも何もいじらないようなプログラムだったら、防げなかったとい
うことですか。

> Windows を再起動させることなく、MSBlaster が動作すれば良いのでしょう
> けれど、WindowsXP の default では RPC service が不安定になった場合
> には再起動することになっています。

「不安定」って、技術的にどういうことですか？
自分が安定か不安定か判断するＯＳって、そんなものが存在するんですか？

> 従って、攻撃は受けて、ファイルは何処か… System folder の下か何処か
> に書かれてしまうでしょうけれど、そこから先のことは出来ないと推測でき
> ます。

たまたま攻撃プログラムがしょぼかったということですか。

まあ、攻撃プログラムって、しょぼいプログラムが多いというのは
事実なんだけど。

IIJIMA Hiromitsu

unread,

Aug 18, 2003, 12:26:53 PM8/18/03

to

いいじまです。

> アンチウイルスソフトが利く場合と利かない場合って、どう分類すると判り易いです
> かね。ウイルスを捕まえるタイミングがある場合と無い場合ってことになるかと思う
> んだけど。

つまるところ、「OS の階層構造のどこに穴があるか」ですよね。

アプリケーションレベル（UNIX 系 OS でいうところのユーザーランド）の穴で
あれば、アンチウィルスソフトがそのアプリの挙動をほぼ完全に監視して、ウイ
ルス・ワームをトラップできます。

人間心理の穴をついたもの（「Love letter for you」の類や二重拡張子で添付
ファイルを開かせるもの）であれば、これもトラップできます。

IIS などのサーバーアプリの穴をつくようなものは、通常はアンチウイルスソフ
トの監視対象にはなっていませんが、これも原理的にはトラップ可能。

ただ今回のように、カーネルレベルの穴の場合は、アンチウイルスソフトは無効
です。穴がアンチウイルスソフトよりも下の階層に位置するか、あるいは同階層
でもカーネルが問題の TCP ポートを先に占拠してしまうからです。

NAKAMURA Kazushi

unread,

Aug 18, 2003, 9:14:57 PM8/18/03

to

In article <3F40FE4D...@ht.sakura.ne.jp>
delm...@ht.sakura.ne.jp writes:
>つまるところ、「OS の階層構造のどこに穴があるか」ですよね。
はい。

>ただ今回のように、カーネルレベルの穴の場合は、アンチウイルスソフトは無効
>です。穴がアンチウイルスソフトよりも下の階層に位置するか、あるいは同階層
>でもカーネルが問題の TCP ポートを先に占拠してしまうからです。

portの占拠にとどまらず、「アンチウィルスソフト自身がどう動いているのか
（動けていないのか）すら、アンチウィルスソフト自身でチェック出来なくなる
から」ではないでしょうか。

同階層どころか、アンチウィルスソフト自身に感染と言うか、寄生するやつ
も有りますし。そこまで行かなくても、ログクリーナやポートラッパー等で
アンチウィルスソフト無効化してから侵入する、というのが高度な（広義の）
ウィルスの一般的形態です。そもそも「アンチウィルスソフト自身が感染して
いないかどうか、どうやってチェックするの？」ということで、UNIX
用のchkrootkitなんかでは、バイナリではなくシェルスクリプト(DOSで言う
ところのバッチファイル）で書かれています。これならプログラムが書けなく
ても、読める程度の人でもチェック出来ます。
--
中村和志＠神戸 <mailto:k...@kobe1995.net>
NAKAMURA Kazushi@KOBE <http://kobe1995.jp/>
- Be Free(BSD), or Die...

Yasushi Shinjo

unread,

Aug 19, 2003, 6:06:26 AM8/19/03

to

新城＠筑波大学情報です。こんにちは。

In article <YAS.03Au...@kirk.is.tsukuba.ac.jp>

y...@is.tsukuba.ac.jp (Yasushi Shinjo) writes:
> 私が知りたいのは、ちゃんとパッチが当っていたかどうかなんです
> が、誰か知りませんか？　今回の話は、７月に出たパッチが当って
> いたら、ＯＫ、当っていなければアウトです。パッチを当る体制が
> うまくできていたかどうかということが問題なんです。

と書きましたが、パッチを当ても危ないという例があるという話が
ありました。

http://www.japan.cnet.com/news/ent/story/0,2000047623,20060440,00.htm
Windows Updateだけでは、MSBlast対策には不十分?

Windows Update は、パッチを当たかどうかは、レジストリを見て
調べています。レジストリにはパッチを当たことにはなっているけ
れど、実際にはパッチが当っていなかったという例が見つかったと
いうことです。

で、どうすればいいかというと、Microsoft Baseline Security
Analyzer（MBSA）を実行しろということのようです。

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/Tools/mbsahome.asp

というわけで、パッチを当たらＯＫというのは間違いでした。訂正
します。

In article <3F40FE4D...@ht.sakura.ne.jp>
IIJIMA Hiromitsu <delm...@ht.sakura.ne.jp> writes:
> いいじまです。

> つまるところ、「OS の階層構造のどこに穴があるか」ですよね。
> アプリケーションレベル（UNIX 系 OS でいうところのユーザーランド）の穴で
> あれば、アンチウィルスソフトがそのアプリの挙動をほぼ完全に監視して、ウイ
> ルス・ワームをトラップできます。

実際には、ＯＳの層で防ぐのは難しい問題もたくさんあります。

プログラム怪しい動きをトラップできたとして、それが本当に怪し
いものなのか、正しいものなのか、判定するのは大変です。つまり、
無実のプログラムも怪しいと判定してしまうかもしれないわけです。
無実のプログラムを動かすたびに、ブツブツ言われたのでは仕事に
なりません。

怪しいプログラムなら怪しいと定義しても、インタプリタ系なら終
りだし、バッファ・オーバーフロー（怪しくないとしたプログラム
が乗っ取られている）でも終りです。

Takashi SAKAMOTO

unread,

Aug 19, 2003, 9:14:23 AM8/19/03

to

阪本@nifty です。

"Yasushi Shinjo" <y...@is.tsukuba.ac.jp> wrote in message
news:YAS.03Au...@kirk.is.tsukuba.ac.jp...

> 結局、今回はたまたま MSBlaster のコードが甘かったから対応で

> きたということですか。この間の Slammer でしたっけ、レジスト
> リも何もいじらないようなプログラムだったら、防げなかったとい
> うことですか。

WindowsXP を攻撃すると、システムを reboot させてしまうというのが
最大の弱点でしょうか…。Windows2000 だと reboot しないので、その
まま Worm が活動する(できる？)でしょうけれど。

# WindowsXP 側だと、そもそもきちんと Worm がシステムをのっとる前に
# 再起動してしまう可能性があります。
# この Worm のタコな点の1つでもありますが。
# また、自分で WindowsXP に patch を当てないために、再度自分の攻撃で
# WindowsXP を reboot させてしまうということをしています…。
# レジストリの Run をいじっても…自分の攻撃で直に reboot …。

> 「不安定」って、技術的にどういうことですか？
> 自分が安定か不安定か判断するＯＳって、そんなものが存在するんですか？

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030813/2/

星澤氏によると，セキュリティ・ホールがあるRPCサービスが，攻撃メッセー
ジを受信してバッファ・オーバーフローが発生した段階で，RPCサービスが
不安定になるという。つまり，上記の 3 の時点で不安定になる。この時点
で，RPCサービス自身がRPCに関するエラー・メッセージを表示して，
Windowsを再起動させる可能性がある。BlasterがWindowsを再起動させる
のではなく，攻撃を受けたRPCサービスが再起動させるのである。

だそうです。
# 攻撃対象となるのは svchost.exe という process です…。

> まあ、攻撃プログラムって、しょぼいプログラムが多いというのは
> 事実なんだけど。

何というか、Internet に公開されている攻撃方法をそのまま使って、
システムをのっとるだけ…。その後の行動には全く独創性が感じられ
ません…。昔は Worm やVirus を作れる人は優秀だと思ったんですけど…

Yasushi Shinjo

unread,

Aug 19, 2003, 1:35:42 PM8/19/03

to

新城＠筑波大学情報です。こんにちは。

In article <bht7rr$a6j$1...@news521.nifty.com>
"Takashi SAKAMOTO" <PXG0...@nifty.ne.jp> writes:
> 阪本@nifty です。

> WindowsXP を攻撃すると、システムを reboot させてしまうというのが
> 最大の弱点でしょうか…。Windows2000 だと reboot しないので、その
> まま Worm が活動する(できる？)でしょうけれど。

弱点というと、Worm の弱点？

予期せずリブートされると、困る場合が多いので、攻撃としては成
功しているとも言えます。ワームの、広がるという目的には反して
いるのでしょうけれど、目的がサービス運用妨害なら、これで十分
です。

あと、対策として、危なくなったらほ「意図的に」早めにクラッシュ
する(Unix 用語だと panic()) というのは、下手に頑張るよりはい
い場合もあります。というのも、下手に頑張るとかえって被害を拡
大させることがあるからです。

> > 「不安定」って、技術的にどういうことですか？
> > 自分が安定か不安定か判断するＯＳって、そんなものが存在するんですか？
>
> http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030813/2/
>
> 星澤氏によると，セキュリティ・ホールがあるRPCサービスが，攻撃メッセー
> ジを受信してバッファ・オーバーフローが発生した段階で，RPCサービスが
> 不安定になるという。つまり，上記の 3 の時点で不安定になる。

ううむ。星澤氏の記事でも、「不安定」は、やはり未定義です。

「不安定」は、マイクロソフト用語なんですか？
「不安定」は、技術的にどういう意味なんですか？
自分が安定か不安定か判断するＯＳって、そんなものが存在するんですか？

なんとなく、「不安定」で思考を止めている人もいるかもしれない
けれど、私はちょっと納得できません。

> > まあ、攻撃プログラムって、しょぼいプログラムが多いというのは
> > 事実なんだけど。
>
> 何というか、Internet に公開されている攻撃方法をそのまま使って、
> システムをのっとるだけ…。その後の行動には全く独創性が感じられ
> ません…。昔は Worm やVirus を作れる人は優秀だと思ったんですけど…

独創性としょぼさは、あんまり関係ありません。独創的なんだけど、
非常にしょぼいプログラムというのは、最近見ました。独創的では
なくても、しょぼくないプログラムもあります。

Takashi SAKAMOTO

unread,

Aug 19, 2003, 8:35:13 PM8/19/03

to

阪本@nifty です。

"Yasushi Shinjo" <y...@is.tsukuba.ac.jp> wrote in message
news:YAS.03Au...@kirk.is.tsukuba.ac.jp...

> 弱点というと、Worm の弱点？

Worm の目的が WindowsUpdate への DoS と外部からの 4444/TCP
による tftp service の起動だとすると、自分本来の目的を果たせてな
いという意味で「弱点」なのではないかと思いました。

また、自分で Windows に patch を当てないために MSBlaster.D なん
かに MSBlast.exe を kill process して hotfix を当てられるという攻撃を
受けています…。
# うっとおしさでは MSBlaster.D の方がたまらないですが。

# あと、初心者ユーザが reboot しまくることで、Worm にやられている
# ことに気付きやすい。(初心者に対する)ステルス性能が低いです。
# …到達可能な他の Windows PC 全てがpatch が当たっていて、自
# 分の PC でだけ Worm が活動しているということになると…気付け
# ないでしょうけれど。

> 予期せずリブートされると、困る場合が多いので、攻撃としては成
> 功しているとも言えます。ワームの、広がるという目的には反して
> いるのでしょうけれど、目的がサービス運用妨害なら、これで十分
> です。

そうですね。作成者の意図…とは異なりますが。

> あと、対策として、危なくなったらほ「意図的に」早めにクラッシュ
> する(Unix 用語だと panic()) というのは、下手に頑張るよりはい
> い場合もあります。というのも、下手に頑張るとかえって被害を拡
> 大させることがあるからです。

はい。

> ううむ。星澤氏の記事でも、「不安定」は、やはり未定義です。
>
> 「不安定」は、マイクロソフト用語なんですか？
> 「不安定」は、技術的にどういう意味なんですか？
> 自分が安定か不安定か判断するＯＳって、そんなものが存在するんですか？
>
> なんとなく、「不安定」で思考を止めている人もいるかもしれない
> けれど、私はちょっと納得できません。

恐らくは buffer overrun 攻撃なので、「不正なメモリをアクセスしました」
などの例外が発生するのだと思います。この例外を trap して、svchost.exe
が WindowsXP の restart を要求するのでしょう。
# きちんと攻撃コードを書けば、この例外を出さないで済んだような気がしな
# くもないです…。

> 独創性としょぼさは、あんまり関係ありません。独創的なんだけど、
> 非常にしょぼいプログラムというのは、最近見ました。独創的では
> なくても、しょぼくないプログラムもあります。

そうですね。私の発言は「しょぼいプログラムばかり」に修正します。
# きちんと書かれた「しょぼくない」プログラムだと被害は拡大していたでしょう
# ね…。

Kawabata Kazuyuki

unread,

Aug 20, 2003, 4:05:18 AM8/20/03

to

川端です。
とりあえず、Followup-To: fj.os.ms-windows.win2000 とします。

<3F40D489...@ht.sakura.ne.jp>の記事において
delm...@ht.sakura.ne.jpさんは書きました。

>> あと、これは Windows 固有の話になりますが、ご存じない方もいらっしゃると
>> 思うので書いておくと、WindowsUpdate では、自機のバージョンに関係なく、
>> Windows のすべてのバージョン（ただしサポート切れになっていないものに限る）
>> 用のパッチをダウンロードして、ローカルに保存しておくことができます。たと
>> えば、私のマシンは Windows Me ですが、このマシンで Windows 2000 用のパッ
>> チをダウンロードできます。そのパッチは、Windows 2000 マシンに持っていけば
>> 当てることができます。

具体的にはどのようにしたら実現できるのでしょうか?
WindowsUpdate でパッチの存在を確認できて、WindowsUpdate からインストールで
きるのですが、ファイルをローカルに保存してから実行させたいと思っています。

WindowsUpdate で詳細を見ていっても元のページに戻ってしまったりで、たどり着
けません。
--
川端一之
E-mail:k-k...@tdc.minolta.co.jp

Yasushi Shinjo

unread,

Aug 20, 2003, 5:19:51 AM8/20/03

to

新城＠筑波大学情報です。こんにちは。

In article <bhufof$pth$1...@news521.nifty.com>
"Takashi SAKAMOTO" <PXG0...@nifty.ne.jp> writes:
> そうですね。作成者の意図…とは異なりますが。

それは、擬態かもしれませんよ。Worm のふりして、実は、DoS 攻
撃プログラムだったりして。

> > 「不安定」は、技術的にどういう意味なんですか？

> 恐らくは buffer overrun 攻撃なので、「不正なメモリをアクセスしました」
> などの例外が発生するのだと思います。

buffer overrun 攻撃は、攻撃が成功した時には、メモリアクセス
の例外は「発生しません」。攻撃には、絶対番地が必要になるので
すが、これもだいたいでよくて、nop 命令を埋めておけば、ある程
度の範囲内なら１発で成功します。

１発で成功しない場合は、番地を変えながら何回かループする必要
がある場合があります。その場合は、メモリアクセスの例外が発生
するので、

> この例外を trap して、svchost.exe
> が WindowsXP の restart を要求するのでしょう。

ということになるのでしょう。

svchost.exe は、Windows XP の標準のプログラムですね。
何するプログラムなんでしょうか。

でも、メモリアクセス例外が発生しまくって、サーバ・プロセスが
再起動することを「不安定」とは普通言わないんだけどなあ。まあ、
普通とマイクロソフト用語の区別がつかないということは、特にマ
イクロソフトにどっぷり漬かっている人には普通だからなあ。

次の場所に、リカバリの方法が出ていますね。

W32/Blaster Recovery Tips
http://www.cert.org/tech_tips/w32_blaster.html

基本的には、プロセスを kill して、ファイルを消して、Internet
Connection Firewall (ICF) で、攻撃対象のポートを塞ぎ、(DCOM
を落として)、再起動して、Windows Update をかけるということの
ようです。

Takashi SAKAMOTO

unread,

Aug 20, 2003, 7:44:17 AM8/20/03

to

阪本@nifty です。

"Yasushi Shinjo" <y...@is.tsukuba.ac.jp> wrote in message
news:YAS.03Au...@kirk.is.tsukuba.ac.jp...

> それは、擬態かもしれませんよ。Worm のふりして、実は、DoS 攻
> 撃プログラムだったりして。

そうかもしれませんね。取り敢えず、素の MSBlast よりは、Blast.D の
方が icmp を投げまくるので迷惑だったりします…。

> buffer overrun 攻撃は、攻撃が成功した時には、メモリアクセス
> の例外は「発生しません」。攻撃には、絶対番地が必要になるので
> すが、これもだいたいでよくて、nop 命令を埋めておけば、ある程
> 度の範囲内なら１発で成功します。
>
> １発で成功しない場合は、番地を変えながら何回かループする必要
> がある場合があります。その場合は、メモリアクセスの例外が発生
> するので、
>
> > この例外を trap して、svchost.exe
> > が WindowsXP の restart を要求するのでしょう。
>
> ということになるのでしょう。

そうですね…。私は単純に svchost.exe を乗っ取って、msblast.exe を
走らせた後、exit するか、そのまま適当に return するかして、継続し
て svchost.exe が走れない状態になってしまったのだと想像しました。
# return したら stack はでたらめな場所指しているでしょうから、
# memory access 例外も出るでしょうし。

あとは…これはすっかり忘れていたのですが、Windows の Service は
動作中にも定期的にステータスを要求されるので、それに全く応答でき
なければ、Service Control Manager にエラーが発生していると疑われ
てしまいます。
# svchost.exe を乗っ取った後、status をきちんと出し続ける code では
# なかった…とか。

> svchost.exe は、Windows XP の標準のプログラムですね。
> 何するプログラムなんでしょうか。

WindowsXP の管理ツールからサービスを開いて、Remote Procedure
Call (RPC) サービスの property を開くと、

C:\WINDOWS\system32\svchost -k rpcss

となっているのが分かると思います。

> でも、メモリアクセス例外が発生しまくって、サーバ・プロセスが
> 再起動することを「不安定」とは普通言わないんだけどなあ。まあ、
> 普通とマイクロソフト用語の区別がつかないということは、特にマ
> イクロソフトにどっぷり漬かっている人には普通だからなあ。

すみません…。OS が不安定になる、と書いた記憶はないのですが、
書きましたでしょうか？再起動する理由については、ITPro の URL を
提示したと記憶しているのですが。

上のプロパティの回復の手段のところを出せば分かる通りに、
---
このサービスがエラーになった場合のコンピュータの応答を指定して
ください。
最初のエラー：コンピュータを再起動する
次のエラー：コンピュータを再起動する
その後のエラー：コンピュータを再起動する
---
になっているので、再起動してしまうのだ…と。

svchost.exe がエラーを出している状況が「安定」しているのか「不安
定」になっているのかは…どちらかと言うと「不安定」なんじゃないかと
思うのですけど…。

> W32/Blaster Recovery Tips
> http://www.cert.org/tech_tips/w32_blaster.html
>
> 基本的には、プロセスを kill して、ファイルを消して、Internet
> Connection Firewall (ICF) で、攻撃対象のポートを塞ぎ、(DCOM
> を落として)、再起動して、Windows Update をかけるということの
> ようです。

はい。…プロセスを kill する前にネットワークケーブルをひっこ抜く方
が先だと思いますが。

MSBlast.D については 2004 年には自動消滅するらしいので、
時計を 2004 年以降に設定すれば駆除できるそうです。
# それをやってしまうと、WindowsXP だと、Activation が要求される
# でしょうが…。

NAKAMURA Kazushi

unread,

Aug 21, 2003, 9:15:30 AM8/21/03

to

中村和志＠神戸です。ほとんど新城さんが語ってくれているけど、補足。

In article <YAS.03Au...@kirk.is.tsukuba.ac.jp>
>> そうですね。作成者の意図…とは異なりますが。
これでも、十分意図と言うか、予測の範囲内です。

>それは、擬態かもしれませんよ。Worm のふりして、実は、DoS 攻
>撃プログラムだったりして。

Worm, Troyan, (狭義の)virusというのは感染形態。
DoS,DDoS,sniffer,spyware,改竄,LogCleaner,etc.というのは感染に成功した
後のactionに依る分類。
なので、Dos攻撃を仕掛けるwormというのも有り得るかと。

>buffer overrun 攻撃は、攻撃が成功した時には、メモリアクセス
>の例外は「発生しません」。攻撃には、絶対番地が必要になるので
>すが、これもだいたいでよくて、nop 命令を埋めておけば、ある程
>度の範囲内なら１発で成功します。
>
>１発で成功しない場合は、番地を変えながら何回かループする必要
>がある場合があります。その場合は、メモリアクセスの例外が発生
>するので、

かつてRedHat Linuxのとあるバージョンで、初期値のままEnterを叩き
続けてインストールすると、WWWサーバもインストールされて、その
WWWサーバにとあるリクエストを送るとbuffer overrunして、しかも
それがOS起動後の最初のリクエストだと必ず同じ番地に飛べる、という
穴が有って、それを悪用したwormが流行った時が有ります。初期値の
ままEnter押しっぱなしでインストールする人が実は少なくない模様。

なので攻撃者にとっては、狙った環境(OS,server,mailer,etc.)
で狙った予測アドレス（範囲）に飛べれば乗っ取れるし（最善解）、
そこまで行かなくても例外発生でそのサービスを停止されられる
（次善解）というくらいの意図でしょう。

OpenBSDでは早い時期から/dev/randomなんてドライバまで用意して、
そこかしこで乱数を使って、攻撃者からoverrun後に飛ぶと上手く
いくアドレスを予測され難くしていました。FreeBSD 5-current
でも、様々なEntropy harvestingを利用して予測困難性を上げようと
努力しています。Windowsを見ると、そういった注意が払われていない
と言うより、debugの為、再現性を確保しようとさえしているのでは？
なんて邪推させられます。「一般保護例外 0E...」なんて教えてくれ
ちゃってどうするの？

MOCHIDA Shuji

unread,

Aug 21, 2003, 10:47:45 AM8/21/03

to

持田＠NETside です。

>> この MSBlaster はレジストリに Windows が起動した時に起動するように
>> するというベタなコードを書いています。そこは Antivirus Software が
>> 一番最初に block する場所です。
>
> 結局、今回はたまたま MSBlaster のコードが甘かったから対応で
> きたということですか。この間の Slammer でしたっけ、レジスト

>> 従って、攻撃は受けて、ファイルは何処か… System folder の下か何処か
>> に書かれてしまうでしょうけれど、そこから先のことは出来ないと推測でき
>> ます。
>
> たまたま攻撃プログラムがしょぼかったということですか。

今回の MSBLAST.D のやつの騒ぎ、「致命的なことまではやらないけど、充分に
話題性があった」という点、結果非常に多くのシステムの穴を塞がせたという
点で、とても興味深いですよね... もしなんかとんでもなく致命的な穴が
みつかったら、ほんとうにヤバいやつが現れる前に先に軽い奴を
バラ撒くという考え方も（内緒でだったら）ありかも。

＃ ...弱い菌で免疫をつけさせる、と。

--
持田修司 NETside Technologies Inc.
-- Equal Opportunity for All Good Architectures, NetBSD. --

Yasushi Shinjo

unread,

Aug 21, 2003, 1:06:50 PM8/21/03

to

新城＠筑波大学情報です。こんにちは。

In article <0308212215...@ns.kobe1995.net>
k...@kobe1995.net (NAKAMURA Kazushi) writes:
> 中村和志＠神戸です。ほとんど新城さんが語ってくれているけど、補足。

> Worm, Troyan, (狭義の)virusというのは感染形態。
> DoS,DDoS,sniffer,spyware,改竄,LogCleaner,etc.というのは感染に成功した
> 後のactionに依る分類。
> なので、Dos攻撃を仕掛けるwormというのも有り得るかと。

なるほど。

> かつてRedHat Linuxのとあるバージョンで、初期値のままEnterを叩き
> 続けてインストールすると、WWWサーバもインストールされて、その
> WWWサーバにとあるリクエストを送るとbuffer overrunして、しかも
> それがOS起動後の最初のリクエストだと必ず同じ番地に飛べる、という
> 穴が有って、それを悪用したwormが流行った時が有ります。初期値の
> ままEnter押しっぱなしでインストールする人が実は少なくない模様。

Unix 系(Linux 含む)だと、環境変数をスタックの底に仕組むこと
が多いのて、環境変数がまったく同じなら、完全に同じになります。

> OpenBSDでは早い時期から/dev/randomなんてドライバまで用意して、
> そこかしこで乱数を使って、攻撃者からoverrun後に飛ぶと上手く
> いくアドレスを予測され難くしていました。FreeBSD 5-current
> でも、様々なEntropy harvestingを利用して予測困難性を上げようと
> 努力しています。

カーネルで、スタックの底をランダム化しているんですか？

DeleGate は、alloca(rand) して、自分でランダム化していました。

> Windowsを見ると、そういった注意が払われていない
> と言うより、debugの為、再現性を確保しようとさえしているのでは？

そもそもバグが多すぎるというのを、なんとかできないんですかね。
一種の欠陥品を売っているわけだから、自動車とか食品なら売り上
げが落ちて会社が傾くはずなんだけど。ここまで独占がひどくなる
と、バグを売っても儲かるから。あれだけの資金があれば、
Windows XP を１０回くらい開発してもまだお金が残るんじゃない
かなあ。結局、やる気の問題なのか、技術の問題なのか。

昔なら、自分では Windows 使っていないから関係ないやと言えた
のに、だんだんしがらんできて、関係ないのに何か世話をしないと
いけなって。