TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究のログ

トップ > Malware: Blaster / MSBlast / MSBlaster (Worm) > なぜWindowsが再起動させられるのか?---「Blaster」ワームの謎を解く

なぜWindowsが再起動させられるのか?---「Blaster」ワームの謎を解く

Malware: Blaster / MSBlast / MSBlaster (Worm) MS03-026 攻撃手法: スタックバッファオーバーフロー TCP: 135番ポート

【要点】

◎「Blaster」ワーム自体に再起動機能はなく、RPCサービスの脆弱性悪用で不安定化したWindowsが自動再起動していた (日経XTECH)


【要約】

2003年に流行した「Blaster(MSBlaster)」感染時にWindowsが勝手に再起動する現象は、ワーム自身の機能ではなく、RPC DCOMの脆弱性(MS03-026)を突かれたことでRPCサービスが不安定化し、OSが保護動作として再起動するために起きていた。攻撃はTCP135番ポート経由でバッファオーバーフローを起こし、条件次第で再起動前にmsblast.exeが転送・実行され感染が成立する。再起動の有無にかかわらず未パッチ環境は危険であり、Microsoftの修正パッチ適用やポート遮断、Symantecなどの駆除ツール利用が必須とされた。


【ニュース】

◆なぜWindowsが再起動させられるのか?---「Blaster」ワームの謎を解く (日経XTECH, 2003/08/13)
https://xtech.nikkei.com/it/free/ITPro/NEWS/20030813/2/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023