Re: Re: W32/Blaster Worm (ウイルスやワームに関するグループ)

From(投稿者):	"Takashi SAKAMOTO" <PXG01715@nifty.ne.jp>
Newsgroups(投稿グループ):	fj.comp.security
Subject(見出し):	Re: Re: W32/Blaster Worm (ウイルスやワームに関するグループ)
Date(投稿日時):	Mon, 18 Aug 2003 20:47:17 +0900
Organization(所属):	@nifty netnews service
References(祖先記事, 一番最後が直親):	(G) <bhlblr$2kk5$1@news2.wakwak.com>
(G) <YAS.03Aug17031326@kirk.is.tsukuba.ac.jp>
(G) <bhoc9q$dbi$1@news2.wakwak.com>
(G) <HOSHI.03Aug18182733@ext54.sra.co.jp>
(G) <YAS.03Aug18191403@kirk.is.tsukuba.ac.jp>
Message-ID(記事識別符号):	(G) <bhqecd$nvo$1@news521.nifty.com>

From(投稿者):

"Takashi SAKAMOTO" <PXG01715@nifty.ne.jp>

Newsgroups(投稿グループ):

fj.comp.security

Subject(見出し):

Re: Re: W32/Blaster Worm (ウイルスやワームに関するグループ)

Date(投稿日時):

Mon, 18 Aug 2003 20:47:17 +0900

Organization(所属):

@nifty netnews service

References(祖先記事, 一番最後が直親):

(G) <bhlblr$2kk5$1@news2.wakwak.com>

(G) <YAS.03Aug17031326@kirk.is.tsukuba.ac.jp>

(G) <bhoc9q$dbi$1@news2.wakwak.com>

(G) <HOSHI.03Aug18182733@ext54.sra.co.jp>

(G) <YAS.03Aug18191403@kirk.is.tsukuba.ac.jp>

Message-ID(記事識別符号):

(G) <bhqecd$nvo$1@news521.nifty.com>

記事全体へのコマンド


"Yasushi Shinjo" <yas@is.tsukuba.ac.jp> wrote in message
news:YAS.03Aug18191403@kirk.is.tsukuba.ac.jp...

> 具体的に、どういう技術で「対応」できていたのでしょうか。
>
> 私の理解する所では、今回の攻撃は、サーバかカーネルの深い所の
> 話なので、ウイルス対策ソフトウェアが働く場面は存在しないよう
> に思えます。

Antivirus Software は firewall 機能を持っていることが多いです。ですから、
135/TCP をブロックすることで、MSBlaster の攻撃を防ぐことができます。

また、仮に firewall 機能が働かなかった(存在しなかった)としても、
この MSBlaster はレジストリに Windows が起動した時に起動するように
するというベタなコードを書いています。そこは Antivirus Software が
一番最初に block する場所です。
Windows を再起動させることなく、MSBlaster が動作すれば良いのでしょう
けれど、WindowsXP の default では RPC service が不安定になった場合
には再起動することになっています。

従って、攻撃は受けて、ファイルは何処か… System folder の下か何処か
に書かれてしまうでしょうけれど、そこから先のことは出来ないと推測でき
ます。
--
---
Takashi SAKAMOTO (PXG01715@nifty.ne.jp)

Fnews-brouse 1.9(20180406) -- by Mizuno, MWE <mwe@ccsf.jp>
GnuPG Key ID = ECC8A735
GnuPG Key fingerprint = 9BE6 B9E9 55A5 A499 CD51 946E 9BDC 7870 ECC8 A735