対応定義ファイル |
定義ファイルバージョン 1.480(20030812)
以降で対応済みです。 |
ウイルスの対処方法 |
検出ファイルを削除してください |
ウイルスに関する危険度 |
5 -
深刻な被害が拡大中 |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
Win32/Lovsan.A ワーム(別名:MSBlast(MSブラスト), Blaster,
Poza)は、2003年8月11日に発見されました。NOD32 Ver.2(日本語版はNOD32アンチウイルスVer.2です)をお使いのユーザーはウイルス定義ファイルのデータベース
1.480(20030812)以上で保護されます。NOD32は検出されたファイルを削除することによって感染を除去します。
Microsoft Windowsの脆弱性:
このワームはWindowsのリモートプロシージャコール(RPC, Remote Procedure Call)の脆弱性を利用して活動することが知られています。詳細はMicrosoft社のセキュリティ情報をご参照ください。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
この脆弱性を利用されると、攻撃者(ワーム)に様々な方法(悪意あるプログラムをインストールされたり、アカウントを作成されるなど)でリモートコンピュータをコントロールされてしまいます。
上記Microsoft社のWebサイトでは感染されたプラットフォーム(Windows2000およびWindowsXP)に対する適用可能な修正プログラムを配布しています。
アンチウイルスプログラムの更新の有無に関わらず、対応する修正プログラムを適用してください。
注意:
この脆弱性を利用されると、ワームはユーザーの介在が無くとも保護されていないシステムに感染する可能性があります。Win32/Lovsan.Aはマスメーリングワームではありません。
感染されたシステムにおける影響:
このワームはシステムを不安定にして、特定のアプリケーション(Microsoft
Explorer や Microsoft Outlookなど)をクラッシュさせます。さらに、システムを(繰り返し)再起動させます。
このワームは、レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run
に"Windows auto update"="msblast.exe"を書き込んで、システムを再起動させます。
このワームは、ネットワーク(インターネット)に存在するコンピュータを攻撃するために、ある特別なランダムサーチアルゴリズムを使って、ポート135を通して攻撃することが可能なコンピュータを特定することを試みます。
このポートを通して送られたデータは、コマンドシェル(cmd.exe)を作成してTCPポート4444を開きます。
このワームは、UDPポート69も開き、リクエストがあればワームの本体(msblast.exe)を送り込みます。
攻撃されたリモートコンピュータは、ネットワークに接続したとき、ワームがダウンロードおよび実行されます。
また、システム日付が 8月16日(「月」が 8以上または、「日」が 15より大きい場合)以降、感染したコンピュータはwindowsupdate.comにパケットを送信して、DoS(サービス拒否)攻撃を行います。
ワームの名前は、このワームのコードの中に隠されたテキストに由来しています。
I Just want to say LOVE YOU SAN!!
billy gates why do you make this possible? Stop making
money and fix your software!!
■ Win32/Lovsan.A(別名:MSBlast(MSブラスト),
Blaster, Poza) 駆除ツール
本クリーナープログラムは、ESET社がフリーで提供している駆除支援ツールです。 ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
|