Hitachi Global

HIRT-PUB07004：ワームが送信するパケットの動きをみてみよう(2)

ここでは実際にツールを用いて可視化した代表的な５つのワームの例をご紹介します。

Blaster

（１）概要

Blasterワームは、Windowsの脆弱性(MS03-026)を攻略するパケットをランダムなIPアドレスのTCP135番ポート（*4）に向けて送信します。

（２）探索活動

Blasterワームは、宛先IPアドレスの第1～第3オクテットを固定させながら、第4オクテットのみを昇順で規則正しく単調増加させて探索しています。これはワーム感染ノードと同一セグメントにある近隣ノードを効率的に探索するためであると考えられます。

参考リンク：RPC インターフェイスのバッファオーバーランによりコードが実行される (823980) (MS03-026)
(http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.mspx)

Nimda

（１）概要

Nimdaワームは、TCP80番ポートを利用してWebサーバ（IIS:Internet Information Service）の脆弱性(MS00-078)を攻略するほか、TCP137-139、445番ポートを利用してワームの本体を感染先ノードに転送します。

（２）探索活動

Nimdaワームは、宛先IPアドレスの第1～第2オクテットを固定させながら、第3～第4オクテットをランダムに変化させることで探索範囲を広げます。

参考リンク：「Webサーバーフォルダへの侵入」の脆弱性に対する対策（MS00-078）
(http://www.microsoft.com/japan/technet/security/bulletin/MS00-078.mspx)

Zotob

（１）概要

Zotobワームは、TCP445番ポートを利用してWindowsのプラグアンドプレイの脆弱性(MS05-039)を攻略するパケットを送信します。

（２）探索活動

Zotobワームは、宛先IPアドレスの第1～第3オクテットを固定させながら、第4オクテットを、5つのブロックに分けて規則正しく変化させて探索します。
また、時間の経過と共に、第3オクテットに少しずつランダム性を持たせていくことで、探索対象を徐々に拡大します。

参考リンク：プラグアンドプレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) (MS05-039)
(http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx)

CodeRed

（１）概要

CodeRedワームは、TCP80番ポートを利用してWebサーバ（IIS:Internet Information Service）の脆弱性(MS01-033)を攻略するパケットを送信します。

（２）探索活動

CodeRedワームは、宛先IPアドレスの第1オクテットを固定させながら、第2～第4オクテットを変化させて探索します。また、第3オクテットを、3つのブロックに分けて規則正しく変化させ、さらに第4オクテットについても同様に、複数のブロックに分けて探索します。

参考リンク：Index Server ISAPI エクステンションの未チェックのバッファによりWeb サーバーが攻撃される (MS01-033)
(http://www.microsoft.com/japan/technet/security/bulletin/MS01-033.mspx)

SQLSlammer

（１）概要

SQLSlammerワームは、SQL Server 2000の脆弱性(MS02-039)を狙うワームで、攻略パケットをUDP1434番ポートに向けて送信します。

（２）探索活動

SQLSlammerワームは、宛先IPアドレスの第1～第4オクテットの全てをランダムに変化させながら探索します。これは、感染先のネットワークを限定しないで、広域な範囲を探索するためであると考えられます。

*: 他のワームと比較して、本ワームは単位時間当たりのパケット送信量が非常に多く、このため本サイトが提供する可視化ツールを利用する際には、再生スピードを低く設定することを推奨します。

参考リンク：SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (323875) (MS02-039)
(http://www.microsoft.com/japan/technet/security/bulletin/MS02-039.mspx)

3ページ中2ページ