阪本@nifty です。

"Yasushi Shinjo" <yas@is.tsukuba.ac.jp> wrote in message
news:YAS.03Aug20181951@kirk.is.tsukuba.ac.jp...

> それは、擬態かもしれませんよ。Worm のふりして、実は、DoS 攻
> 撃プログラムだったりして。

そうかもしれませんね。取り敢えず、素の MSBlast よりは、Blast.D の
方が icmp を投げまくるので迷惑だったりします…。

> buffer overrun 攻撃は、攻撃が成功した時には、メモリアクセス
> の例外は「発生しません」。攻撃には、絶対番地が必要になるので
> すが、これもだいたいでよくて、nop 命令を埋めておけば、ある程
> 度の範囲内なら1発で成功します。
>
> 1発で成功しない場合は、番地を変えながら何回かループする必要
> がある場合があります。その場合は、メモリアクセスの例外が発生
> するので、
>
> > この例外を trap して、svchost.exe
> > が WindowsXP の restart を要求するのでしょう。
>
> ということになるのでしょう。

そうですね…。私は単純に svchost.exe を乗っ取って、msblast.exe を
走らせた後、exit するか、そのまま適当に return するかして、継続し
て svchost.exe が走れない状態になってしまったのだと想像しました。
# return したら stack はでたらめな場所指しているでしょうから、
# memory access 例外も出るでしょうし。

あとは…これはすっかり忘れていたのですが、Windows の Service は
動作中にも定期的にステータスを要求されるので、それに全く応答でき
なければ、Service Control Manager にエラーが発生していると疑われ
てしまいます。
# svchost.exe を乗っ取った後、status をきちんと出し続ける code では
# なかった…とか。

> svchost.exe は、Windows XP の標準のプログラムですね。
> 何するプログラムなんでしょうか。

WindowsXP の管理ツールからサービスを開いて、Remote Procedure
Call (RPC) サービスの property を開くと、

  C:\WINDOWS\system32\svchost -k rpcss

となっているのが分かると思います。

> でも、メモリアクセス例外が発生しまくって、サーバ・プロセスが
> 再起動することを「不安定」とは普通言わないんだけどなあ。まあ、
> 普通とマイクロソフト用語の区別がつかないということは、特にマ
> イクロソフトにどっぷり漬かっている人には普通だからなあ。

すみません…。OS が不安定になる、と書いた記憶はないのですが、
書きましたでしょうか? 再起動する理由については、ITPro の URL を
提示したと記憶しているのですが。

上のプロパティの回復の手段のところを出せば分かる通りに、
---
このサービスがエラーになった場合のコンピュータの応答を指定して
ください。
最初のエラー: コンピュータを再起動する
次のエラー: コンピュータを再起動する
その後のエラー: コンピュータを再起動する
---
になっているので、再起動してしまうのだ…と。

svchost.exe がエラーを出している状況が「安定」しているのか「不安
定」になっているのかは…どちらかと言うと「不安定」なんじゃないかと
思うのですけど…。

> W32/Blaster Recovery Tips
> http://www.cert.org/tech_tips/w32_blaster.html
>
> 基本的には、プロセスを kill して、ファイルを消して、Internet
> Connection Firewall (ICF) で、攻撃対象のポートを塞ぎ、(DCOM
> を落として)、再起動して、Windows Update をかけるということの
> ようです。

はい。…プロセスを kill する前にネットワークケーブルをひっこ抜く方
が先だと思いますが。

MSBlast.D については 2004 年には自動消滅するらしいので、
時計を 2004 年以降に設定すれば駆除できるそうです。
# それをやってしまうと、WindowsXP だと、Activation が要求される
# でしょうが…。
--
---
Takashi SAKAMOTO (PXG01715@nifty.ne.jp)