W32/Blaster Worm
Yasushi Shinjo
In article <bhufof$pth$1...@news521.nifty.com>
"Takashi SAKAMOTO" <PXG0...@nifty.ne.jp> writes:
> そうですね。作成者の意図…とは異なりますが。
それは、擬態かもしれませんよ。Worm のふりして、実は、DoS 攻
撃プログラムだったりして。
> > 「不安定」は、技術的にどういう意味なんですか?
> 恐らくは buffer overrun 攻撃なので、「不正なメモリをアクセスしました」
> などの例外が発生するのだと思います。
buffer overrun 攻撃は、攻撃が成功した時には、メモリアクセス
の例外は「発生しません」。攻撃には、絶対番地が必要になるので
すが、これもだいたいでよくて、nop 命令を埋めておけば、ある程
度の範囲内なら1発で成功します。
1発で成功しない場合は、番地を変えながら何回かループする必要
がある場合があります。その場合は、メモリアクセスの例外が発生
するので、
> この例外を trap して、svchost.exe
> が WindowsXP の restart を要求するのでしょう。
ということになるのでしょう。
svchost.exe は、Windows XP の標準のプログラムですね。
何するプログラムなんでしょうか。
でも、メモリアクセス例外が発生しまくって、サーバ・プロセスが
再起動することを「不安定」とは普通言わないんだけどなあ。まあ、
普通とマイクロソフト用語の区別がつかないということは、特にマ
イクロソフトにどっぷり漬かっている人には普通だからなあ。
次の場所に、リカバリの方法が出ていますね。
W32/Blaster Recovery Tips
http://www.cert.org/tech_tips/w32_blaster.html
基本的には、プロセスを kill して、ファイルを消して、Internet
Connection Firewall (ICF) で、攻撃対象のポートを塞ぎ、(DCOM
を落として)、再起動して、Windows Update をかけるということの
ようです。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\