キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Lovsan.A
公開日:2003年08月13日
このウイルスに関する危険度 :■■■■■
対応定義ファイル 定義ファイルバージョン 1.480(20030812) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 深刻な被害が拡大中
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


Win32/Lovsan.A ワーム(別名:MSBlast(MSブラスト), Blaster, Poza)は、2003年8月11日に発見されました。NOD32 Ver.2(日本語版はNOD32アンチウイルスVer.2です)をお使いのユーザーはウイルス定義ファイルのデータベース 1.480(20030812)以上で保護されます。NOD32は検出されたファイルを削除することによって感染を除去します。

Microsoft Windowsの脆弱性:

このワームはWindowsのリモートプロシージャコール(RPC, Remote Procedure Call)の脆弱性を利用して活動することが知られています。詳細はMicrosoft社のセキュリティ情報をご参照ください。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
この脆弱性を利用されると、攻撃者(ワーム)に様々な方法(悪意あるプログラムをインストールされたり、アカウントを作成されるなど)でリモートコンピュータをコントロールされてしまいます。
上記Microsoft社のWebサイトでは感染されたプラットフォーム(Windows2000およびWindowsXP)に対する適用可能な修正プログラムを配布しています。

アンチウイルスプログラムの更新の有無に関わらず、対応する修正プログラムを適用してください。

注意:

この脆弱性を利用されると、ワームはユーザーの介在が無くとも保護されていないシステムに感染する可能性があります。Win32/Lovsan.Aはマスメーリングワームではありません。

感染されたシステムにおける影響:

このワームはシステムを不安定にして、特定のアプリケーション(Microsoft Explorer や Microsoft Outlookなど)をクラッシュさせます。さらに、システムを(繰り返し)再起動させます。
このワームは、レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run
に"Windows auto update"="msblast.exe"を書き込んで、システムを再起動させます。

このワームは、ネットワーク(インターネット)に存在するコンピュータを攻撃するために、ある特別なランダムサーチアルゴリズムを使って、ポート135を通して攻撃することが可能なコンピュータを特定することを試みます。
このポートを通して送られたデータは、コマンドシェル(cmd.exe)を作成してTCPポート4444を開きます。
このワームは、UDPポート69も開き、リクエストがあればワームの本体(msblast.exe)を送り込みます。
攻撃されたリモートコンピュータは、ネットワークに接続したとき、ワームがダウンロードおよび実行されます。
また、システム日付が 8月16日(「月」が 8以上または、「日」が 15より大きい場合)以降、感染したコンピュータはwindowsupdate.comにパケットを送信して、DoS(サービス拒否)攻撃を行います。

ワームの名前は、このワームのコードの中に隠されたテキストに由来しています。
I Just want to say LOVE YOU SAN!!
billy gates why do you make this possible? Stop making money and fix your software!!


■ Win32/Lovsan.A(別名:MSBlast(MSブラスト), Blaster, Poza) 駆除ツール

本クリーナープログラムは、ESET社がフリーで提供している駆除支援ツールです。 ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1. 駆除ツール lvsclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに
保存してください。(例 “c:\download”)
2. lvsclean.exe を実行してください。
3.

ディスクスキャンの実施

駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。


【注意】下記警告メッセージが出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。



 
ウイルスを削除する確認ダイアログが表示されますので [ Yes ] を選択してください。
 
以上で作業が完了しました。 [ OK ] ボタンを押してください。

4. このワームはWindowsのリモートプロシージャコール(RPC, Remote Procedure Call)の脆弱性を利用して活動することが知られています。Microsoft社のセキュリティ情報をご参照のうえ、必ずWindows アップデートを実施してください。

RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp

すべての作業が終わりましたら、マシンを再起動してください。
このページのトップへ

(C)Canon IT Solutions Inc.