Topics ウイルス情報:「W32.Esbot.A」にご注意ください。(2005/8/19) 対象機種:Microsoft(R) Windows(R)XPプリインストール機種

平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

標記の件、2005年8月15日(米国時間)に発見されました「W32.Esbot.A」に関しまして、株式会社シマンテックは8月16日、報告件数が増加したため、Symantec Security Responseを、この脅威の危険度を2から3に引き上げた情報更新をおこなっております。
 
このウイルスは2005年8月10日にマイクロソフト株式会社が公開したMicrosoft Windowsの脆弱性「MS05-039」を悪用して感染を拡大します。早急にWindows Updateを行ったうえでウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。

「W32.Esbot.A」は、Windowsの脆弱性を悪用して拡散するネットワーク感染・バックドア設置型のワームです。マイクロソフト社セキュリティ情報「MS05-039」で修正されるプラグ アンド プレイの脆弱性を悪用している事が確認されています。「MS05-039」対策が行われていないコンピューターは、インターネットに接続しているだけで「Esbot」に感染するおそれがあります。
 
感染すると、TCPポート18067で特定のIRCサーバーに接続し、IRCコマンドを受信しようとします。IRCコマンドにより、接続されているネットワークに存在する「MS05-039」未対策のコンピュータを検索し、発見したコンピュータに「MS05-039」の脆弱性を利用して感染を試みます。
また、自分自身をMouse Button Monitorサービスとして実行することにより、システムが不安定になる要因となります。


現在報告されている概要は、下記のようになります。
ウイルスの特徴
1. 種別: ワーム
2. 亜種: 「Esbot」
3. 別名:
Backdoor.Win32.IRCBot.es [Kaspersky Lab]、W32/IRCbot.gen [McAfee]、
W32/Sdbot-ACG [Sophos]、BKDR_RBOT.BD [Trend Micro]、
Win32.Esbot.A、Win32.Esbot.B [Computer Associates]
4. 感染すると、ワームは自分自身を%System%\mousebm.exeとしてコピーします。
* %System%は可変です。WindowsXPの標準では、このフォルダはC:\Windows\System32です。
5. 自分自身を次のサービスとして実行します。
サービス名:mousebm
表示名:Mouse Button Monitor
説明:Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability.
実行ファイルのパス:%System%\mousebm.exe
6.

explorer.exe に自分自身を挿入します。
7. レジストリキー「HKEY_LOCAL_MACHINE\Software\Microsoft\Ole」の「EnableDCOM」の値を改ざんすることにより、DCOMを無効にします。
8. レジストリキー「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa」に「restrictanonymous = 1」と追加することにより、ネットワーク共有への匿名のアクセスを制限します。
9. 空の読み取り専用ファイル%Windir%\debug\dcpromo.logを作成します。
* %Windir%は可変です。WindowsXPの標準では、このフォルダはC:\Windowsです。
10. TCPポート18067で特定のIRCサーバーに接続し、IRCコマンドを受信しようとします。
IRCコマンドによって、以下の操作が実行されるおそれがあります。
  • ファイルをダウンロードして実行する
  • プロセスとスレッドを列挙、停止、開始する
  • サービス拒否(DoS)攻撃を実行する
  • ハードディスクに保存されているファイルを検索する
  • Microsoft Windows プラグ アンド プレイの脆弱性(MS05-039)未対策のコンピュータを探し出し、発見したコンピュータにシェルコードを送信して、自分自身のコピーを転送する。

対処方法
1.感染の確認と駆除
 以下の株式会社シマンテックより提供されます、「W32.Esbot駆除ツール」を使用して感染の確認と駆除を行ってください。

「W32.Esbot駆除ツール」
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.esbot.removal.tool.html
(このリンクは別ウィンドウで開きます)

2. 感染予防策
1) Windowsの修正プログラム(MS05-039パッチ)を適用する必要がございます。
 
早急に Windows Update を実行してください。

「Windows Update」--- Windows Update をご利用いただくことにより、簡単に適用できます。
http://windowsupdate.microsoft.com/
(このリンクは別ウィンドウで開きます)

「MS05-039パッチの確認」
修正プログラムが正しくインストールされたか確認する方法(絵で見るセキュリティ情報)
http://www.microsoft.com/japan/security/bulletins/inst_historyMU.mspx
(このリンクは別ウィンドウで開きます)

2) ウィルス対策ソフトを常駐させ、ウィルス定義ファイルのアップデートを行い、最新版にして監視します。

マイクロソフト(株) 「セキュリティ基本編(絵で見るセキュリティ情報)」   
http://www.microsoft.com/japan/security/bulletins/basic.mspx
(このリンクは別ウィンドウで開きます)

以下のサイトに、修正プログラム「Microsoft Windows XP ・32 bit Edition」への直接リンクがございますので、より簡単にダウンロードが行えます。

プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる(899588)(MS05-039)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx
(このリンクは別ウィンドウで開きます)

「絵で見るセキュリティ情報」(MS05-039)  
http://www.microsoft.com/japan/security/bulletins/ms05-039e.mspx
(このリンクは別ウィンドウで開きます)

3. 日常的な予防策
Norton AntiVirus等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。

参考情報

マイクロソフト株式会社
「絵でみるセキュリティ情報 重要な更新情報一覧」
http://www.microsoft.com/japan/security/bulletins/default.mspx
(このリンクは別ウィンドウで開きます)

株式会社 シマンテック
「W32.Esbot.A」security response  
 http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.esbot.a.html
(このリンクは別ウィンドウで開きます)

InterLink(XP)ホームページ
緊急:Microsoft Windows のセキュリティ上の脆弱性に関する情報」
http://www.victor.co.jp/interlink/xp/topics/index_windowsupdate.html
(このリンクは別ウィンドウで開きます)

(c)Copyright 2005 VICTOR COMPANY OF JAPAN, LIMITED All Rights Reserved.