締切済み

MSBlaster関係

2003/09/28 12:44

135番ポートから侵入するウイルスについて教えてください。本ワームは Windows OS に対して、TCP135 ポート (Microsoft RPC) に対して MS03-026 の脆弱性を悪用した攻撃データを送信します。 MS03-026 の脆弱性の対策が行われていない Windows OS は、攻撃を受け "感染" 上記文章の135番のポートは、Win98、2000、NT、XP では普通は開かれているポートですか？ TCP135 ポートから攻撃データを受信するとどうなるんですか？上記文章では感染と書かれていますが、具体的に教えてください。

iyanarch
お礼率55% (31/56)

ネットワーク
回答数3
ありがとう数4

みんなの回答 （3）
専門家の回答

みんなの回答

noname#5179

2003/09/29 12:46 回答No.3

>個人は"感染"の意味を誰も把握していないようだったしうーん、セキュリティ関連のページをすべて見ての判断でしょうか。理解されている人は非常にたくさんいらっしゃいますよ。たとえば、小島　肇氏 http://www.st.ryukoku.ac.jp/~kjm/security/memo/ 高木浩光氏 http://d.hatena.ne.jp/HiromitsuTakagi/ その他セキュリティ関連のＭＬなどをあさるように読めば、わかると思いますが、、、 >攻撃方法や135番ポートのリモート操作を解説した >個人サイトがあれば教えてください。攻撃のためのプログラムのソースは公開されています。さらに、日本語ＯＳで動かすために必要なちょっとした改変方法も公開されています。（大手ニュースサイトからもリンクされていて、アンダーグラウンドではないサイトで。）ちょっとしたプログラムの知識と、コマンドラインの使い方さえわかっていれば、使えるレベルです。 DCOMで何ができるかは、日経ＢＰのITProのページで解説されていたりもします。具体的な方法や、ページを書くのは、やめておきます。なぜなら悪いことに利用しようとして質問されている可能性が否定できないからです。まずは、普通にOSや、セキュリティの勉強をすることを進めます。そうすれば、MS03-026の脆弱性や、攻撃方法なども自然とわかようになると思いますよ。

質問者

お礼 2003/09/29 14:35

＞具体的な方法や、ページを書くのは、やめておきます。僕が見たサイトの情報はあなたの回答のように抽象的で、詳細はリンク先任せです。知ったように書かれていますが本当に知っているのか疑ってしまいます。

noname#5179

2003/09/29 09:03 回答No.2

MS03-026の脆弱性を悪用した攻撃ですが、バッファオーバーフローを起こさせて、そのあとはシステムに対してフルアクセスができるようになります。ですから、どんなことでも出来るようになるというのが答えになると思います。 MS-026を悪用するウイルスやワームは何種類もありますので、それらの行動については、Trendmicroや、NortonのWEBページのウイルス辞典を見てください。

質問者

お礼 2003/09/29 14:38

＞バッファオーバーフローを起こさせて＞どんなことでも出来るようになるありがとうございます。

noname#6461

2003/09/28 22:15 回答No.1

参考URLに詳しい情報が出ております。（初代ブラスターです。その他の亜種は下記から検索してみて下さい） http://www.symantec.com/region/jp/sarcj/vinfodb.html#threat_list ＞上記文章の135番のポートは、Win98、2000、NT、XP では普通は開かれているポートですか？ MS03-026の脆弱性の影響を受けるのはNT系のWindowsだけです。その中では、Windows98以外は全て該当します。ポートは標準で開かれていますので、未適用の場合は速やかに修正パッチをインストールする必要があるでしょう。なお、MS03-026は既にMS03-039と置き換わっています。（新たに３つのRPCセキュリティホールを修正） http://www.microsoft.com/japan/security/security_bulletins/MS03-039e.asp 新型ワームが登場するのも時間の問題ですので要注意です。ファイアウォールを導入して不要な通信を遮断したり、 DCOMを無効化したりする事によってもブラスター感染を阻止できますが、あくまで暫定的な処置で、基本は適切な修正パッチインストールです。 http://www.zdnet.co.jp/enterprise/0307/31/epn32.html

参考URL：: http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html#technicaldetails

質問者

お礼 2003/09/29 00:20

＞ポートは標準で開かれていますありがとうございます。 "感染" については分かりませんか？検索サイトで見つかるようなサイトはほとんど見たつもりですが、個人は"感染"の意味を誰も把握していないようだったし、symantecのような専門企業は"感染"のような抽象的な表現にとどめているようでした。攻撃方法や135番ポートのリモート操作を解説した個人サイトがあれば教えてください。