PR
「TALOT2」で観測したTCP 1025番ポートへのアクセス(IPAの発表資料から引用)
「TALOT2」で観測したTCP 1025番ポートへのアクセス(IPAの発表資料から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は12月16日,TCP 1025番ポートへのアクセスが再び増加しているとして注意を呼びかけた。10月に公表されたWindowsの脆弱性(セキュリティ・ホール)を突く「Dasher.B」ワーム(ウイルス)などによるものである可能性が高い。ワームに感染するとパスワードなどを盗まれる恐れがある。パッチ未適用のWindowsユーザーは早急に適用しておきたい。

 発信元ポートを6000番とする1025番ポートへのアクセス増加は12月7日ごろから確認され,セキュリティ組織などは警告を出している(関連記事)。アクセスのピークは国内時間12月10日および11日ごろで,それ以降は減少傾向にあったが,再び増加していることが確認された。

 これらのアクセスは,「MSDTCおよびCOM+の脆弱性により,リモートでコードが実行される (902400) (MS05-051)」を突くワームあるいは攻撃コードによるものと推測される。「MS05-051」を突くワームとして,当初「Dasher.A」が確認されたが,動作が不安定だったために感染を広げられなかった(フィンランドF-Secureの情報)。

 しかし,その後に出現した「Dasher.B」は攻撃者の意図するとおりに動作するという。F-Secureの情報によると,Dasher.BがWindowsパソコンへの侵入に成功すると,あるインターネット上のサーバーから自分自身のコピーとキーロガー(ユーザーのキー入力を盗むプログラム)をダウンロードしてインストールするという。また,別のWindowsパソコンに感染を広げようとする。IPAによれば,国内でも感染しているパソコンがあるという。英Sophosの情報では,Dasher.Bはパッチ未適用のWindows 2000だけに感染するとしている。

 多くのウイルス対策ソフトはDasher.Bに対応済みなので,最新のパターンファイル(ウイルス定義ファイル)を使っていれば検出・駆除できる。しかしながら,脆弱性を解消しない限り,何度でも感染することになる。修正パッチが適用されていることを改めて確認したい。(パーソナル)ファイアウオールやルーターなどの利用も効果的だ。

◎参考資料
Microsoft 社 Windows の脆弱性 (MS05-051) について(情報処理推進機構)
First MSDTC-exploiting malware unsuccessful(フィンランドF-Secure)
New Dasher variant(フィンランドF-Secure)
Dasher-B worm exploits Microsoft security vulnerability on Windows 2000 computers(英Sophos)
MS05-051 (MSDTC) Malware / Port 1025(米SANS Institute)