トップページへ > セキュリティ情報 トップ > MSブラスター

コンピュータウイルス「ブラスター」に関する情報

なぜか、問い合わせが多いので、得られた情報をここにまとめおきます。

注意
WindowsUpdateだけをやって感染したままウイルスを放置している人が多いようです。
感染していても、よくいわれるシャットダウン等の症状が起きないこともあるようです。
また、セキュリティホールの修正プログラムを入れていても、ウイルスは活動を続けるようです。
WindowsNT/2000/XPを利用している方は、感染の有無を確かめるようにしてください。

ウイルス対策ソフトでは、発見はできても駆除はできないことが多いようです。
必ず専用の駆除ツールを利用してください。
駆除ツールはウイルス対策ソフトメーカが提供しています。このページの末尾にメーカのリンクを置いてあります。

またWindowsUpdateに接続している最中に感染する例が多いようです。
WindoowsXPでは、ファイアウォール機能を有効にしてからインターネットに接続してください。
WindowsXPのファイアウォールに関しては次のURLを参照してください。
Microsoft Protect Your PC


感染プロセスの概要

 作成:警察庁技術対策課

図のように、パソコンがインターネットに接続されているだけで感染する危険性があります。
InternetExplorerを使わないとか、メールソフトを使わないといったことは何の意味もありません。
CATV、ADSL、FTTHなど常時接続の環境では、パソコンの電源が入っている限り、図の行為を受けます。
図の"1"の行為は、MSBLAST_D or Welchiが行うもので、MSBLAST_Aでは、図の"3"をいきなり行います。

以下は、私のルータのアクセスログの一部です。間断なくICMPが送られて来ているのがおわかりだと思います。
23:35:04  2003/09/11  Access From:WAN, IP=69.132.44.20 Protocol=ICMP    USA
23:35:14  2003/09/11  Access From:WAN, IP=65.70.207.120 Protocol=ICMP   USA
23:35:34  2003/09/11  Access From:WAN, IP=202.39.249.214 Protocol=ICMP  TAIWAN
23:35:44  2003/09/11  Access From:WAN, IP=66.140.101.104 Protocol=ICMP  USA
23:35:44  2003/09/11  Access From:WAN, IP=220.99.17.199 Protocol=ICMP   JAPAN acca.tokyo.ocn.ne.jp
23:36:04  2003/09/11  Access From:WAN, IP=218.74.72.21 Protocol=ICMP    CHINA
23:36:14  2003/09/11  Access From:WAN, IP=61.183.87.253 Protocol=ICMP   CHINA
23:36:14  2003/09/11  Access From:WAN, IP=65.134.160.233 Protocol=ICMP  USA
23:36:34  2003/09/11  Access From:WAN, IP=208.250.50.48 Protocol=ICMP   USA
23:36:44  2003/09/11  Access From:WAN, IP=218.45.37.47 Protocol=ICMP    JAPAN Matsusaka Cable-TV 
23:36:44  2003/09/11  Access From:WAN, IP=218.47.239.218 Protocol=ICMP  JAPAN Plala Network
23:36:44  2003/09/11  Access From:WAN, IP=212.175.155.36 Protocol=UDP   Turkey

23:36:54  2003/09/11  Access From:WAN, IP=218.42.242.143 Protocol=ICMP  JAPAN K-OPTICOM
23:36:54  2003/09/11  Access From:WAN, IP=218.42.206.194 Protocol=ICMP  JAPAN K-OPTICOM
23:37:04  2003/09/11  Access From:WAN, IP=61.177.68.221 Protocol=ICMP   CHINA
23:37:04  2003/09/11  Access From:WAN, IP=218.47.113.28 Protocol=ICMP   JAPAN Plala Networks 
23:37:04  2003/09/11  Access From:WAN, IP=133.100.9.2 Protocol=UDP      JAPAN Fukuoka University
23:37:24  2003/09/11  Access From:WAN, IP=43.244.177.70 Protocol=ICMP   JAPAN FreeBit
23:37:34  2003/09/11  Access From:WAN, IP=218.61.4.209 Protocol=ICMP    CHINA
23:37:34  2003/09/11  Access From:WAN, IP=210.139.248.161 Protocol=TCP  JAPAN So-net 
23:38:04  2003/09/11  Access From:WAN, IP=218.43.70.63 Protocol=ICMP    JAPAN kanagawa.ocn.ne.jp
23:38:14  2003/09/11  Access From:WAN, IP=24.247.106.160 Protocol=ICMP  USA
23:38:14  2003/09/11  Access From:WAN, IP=218.45.47.128 Protocol=ICMP   JAPAN Matsusaka Cable-TV 
23:38:24  2003/09/11  Access From:WAN, IP=165.235.57.24 Protocol=ICMP   USA State of California/Teale Data Center 
23:38:34  2003/09/11  Access From:WAN, IP=61.177.31.34 Protocol=ICMP    CHINA
23:38:54  2003/09/11  Access From:WAN, IP=218.47.11.151 Protocol=ICMP   JAPAN Plala Networks 
23:39:24  2003/09/11  Access From:WAN, IP=64.26.147.183 Protocol=ICMP   CANADA
23:39:24  2003/09/11  Access From:WAN, IP=69.140.180.201 Protocol=ICMP  USA
23:39:44  2003/09/11  Access From:WAN, IP=218.45.172.224 Protocol=ICMP  JAPAN Asahi Net
23:39:54  2003/09/11  Access From:WAN, IP=218.193.1.245 Protocol=ICMP   CANADA
23:40:04  2003/09/11  Access From:WAN, IP=66.61.107.108 Protocol=ICMP   USA
23:40:24  2003/09/11  Access From:WAN, IP=81.128.32.21 Protocol=UDP     United Kingdom
23:40:44  2003/09/11  Access From:WAN, IP=218.45.177.134 Protocol=ICMP   JAPAN Asahi Net
23:40:54  2003/09/11  Access From:WAN, IP=193.108.154.106 Protocol=TCP  JAPAN AKAMAI-NTT 
ダイアルアップ接続でも、プロバイダーに接続した段階で、同様の行為を受けます。
下の図は、ダイアルアップで接続した時の、ウイルスバスターのファイアウォールログです。
2分ほどの接続でしたが、それでも4件のICMPを受信してます。
常時接続であろうがダイアルアップ接続であろうが接続方法には関係なく、インターネットに接続している限りブラスターの接触を受けます。




感染を防ぐ

感染プロセスの図で、はじめにある「ICMPエコー要求」のパケットをブロックすることで効果があるようです(完全ではないですけど)。

WindowsXPには、OS標準でファイアウォール機能がありますから、それを”有効”にしてください。
Microsoftも推奨してます。

最近のウイルス対策ソフトにもファイアウォール機能があり、効果があるようです。
私はウイルスバスター2002という、すでにサポートが終了したバージョンを利用してますが、これとて効果がありました。

ルータは、基本的に外部からのアクセスを遮断するようになっている場合がほとんどですから、効果があります。
機能は機種によってさまざまですが、例えば、私が使っているルータは、coregaのBAR SW-4P Proという、すでに生産が終了している古いものですが、これでもICMPはルータで止まっています。
さらに、ステルスモードという、外部からのアクセスにすべてだんまりを決め込む機能がありますので、ICMPに対して応答を返さず、それきりになります。
IPパケットフィルタリング機能がついている機種ならば、ポート指定で遮断することもできますから、さらに効果があるでしょう。


「ブラスター」の種類と感染確認方法

WORM_MSBLAST.A
ワームが侵入した場合には<Windowsのシステムフォルダ>にワームのコピーである "MSBLAST.EXE" が作成され、レジストリの値が変更される。

場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :"windows auto update" = "MSBLAST.EXE"


WORM_MSBLAST.B
ワームが侵入した場合には<Windowsのシステムフォルダ>にワームのコピーである "PENIS32.EXE" が作成され、レジストリの値が変更される。

場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :"windows auto update" = "PENIS32.EXE"


WORM_MSBLAST.C
ワームが侵入した場合には<Windowsのシステムフォルダ>にワームのコピーである "TEEKIDS.EXE" が作成され、レジストリの値が変更される。

場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run
値 :"Microsoft Inet xp.." = "TEEKIDS.EXE "


WORM_MSBLAST.D or W32.Welchia.Worm
ワームが侵入した場合には<Windowsのシステムフォルダ>直下の"wins"フォルダ内にワームのコピーである "DLLHOST.EXE" が作成される。また、「WINS Client」、「Network Connection Sharing」の2つのサービスが追加される。

場所:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
キー:RpcPatch

場所:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
キー:RpcTftpd

※ WondowsXP/2000ともに、システムフォルダにはDLLHOST.EXEが元々存在します。
  D型に関しては、winsフォルダに作成されますので、間違えないように注意してください。
  WindowsNTは未確認。


WORM_MSBLAST.E(2003年9月16日追加)
ワームが侵入した場合には<Windowsのシステムフォルダ>にワームのコピーである "mspatch.exe" が作成されます。また、レジストリの値が変更されます。

場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon
値 :"Nonton Antivirus=mspatch.exe"


WORM_MSBLAST.G(2003年9月16日追加)
ワームが侵入した場合には<Windowsのシステムフォルダ>にワームのコピーである "ENBIEI.EXE" が作成されます。また、レジストリの値が変更されます。

場所:HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
値 :"www.hidro.4t.com=enbiei.exe "


WORM_MSBLAST.GEN(2003年9月16日追加)
ワームが侵入した場合には<Windowsのシステムフォルダ>にワームのコピーが作成されます。また、レジストリの値が変更されます。
作成されるファイル  "TEEKIDS.EXE" または "ROOT32.EXE"

場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run
値 :"「WORM_MSBLAST.GEN」で発見されたファイル名"


参考 <Windowsのシステムフォルダ>
 WindowsNT/2000
  Windowsフォルダ= C:\WinNT
  システムフォルダ= C:\WinNT\System32

 WindowsXP
  Windowsフォルダ= C:\Windows
  システムフォルダ= C:\Windows\System32


感染している、もしくは、感染しているかもしれないと思った場合は、ウイルス対策ソフトメーカが提供している駆除ツールを利用することをお勧めします。

トレンドマイクロ システム クリーナ ver. 3.0(TSC)の使用方法

シマンテック(Symantec Security Check)


コンピュータウイルス/セキュリティ情報の入手先

公共機関
IPA 情報処理振興事業協会セキュリティセンター
http://www.ipa.go.jp/security/index.html

@POLICE 警察庁サイバーフォース
http://www.cyberpolice.go.jp/


ウイルス対策ソフトメーカ
トレンドマイクロ http://www.trendmicro.co.jp/vinfo/

シマンテック http://www.symantec.com/region/jp/sarcj/index.html

日本ネットワークアソシエイツ http://www.nai.com/japan/security/

日本エフセキュア http://www.f-secure.co.jp/index.html

イーフロンティア http://www.viruskiller.jp/

アンラボ http://www.ahnlab.co.jp/

アラジンジャパン

ソフォス http://www.sophos.co.jp/

コンピュータアソシエイツ http://www.caj.co.jp/virusinfo/



セキュリティ情報  トップページへ