- - PR -
Windowsの脆弱性とクライアントFirewallについて
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2003-08-21 09:28
いつも参考にさせていただいています。
最近流行っています、MS_BLAST.Dというウィルスに感染しました。 (もちろん、これを書いているときには、駆除してあります) 私のPCの環境では、NoteパソコンにT社のPersonal Firewallを インストールしてモバイルとして使用しています。 ところが、先日、ウィルスチェックを行った際に、MS_BLAST.Dという ウィルスが感染していることが発覚しました。 しかし、Firewallのログなどをみると135のポートに関しては、 ブロックされているのです。 最近流行っている、MS_BLAST.*というウィルスはポート135以外にも 攻撃ルートがあるのか、それとも、Firewallといいながら、実は Windowsの脆弱性のパケットが先に反応するのか・・・。 (もしかして、Personal Firewallって信頼できない?) なにか情報などございましたらお願いをいたします。 環境: Windows 2000 + SP3 ウィルスバスター2003 | ||||
|
投稿日時: 2003-08-21 10:14
kanataさんこんにちは。
http://www.atmarkit.co.jp/fwin2k/hotfix/ms03-blaster/blaster01.html によると、このBlasterワームは、TCPの135番ポートや UDPの69番ポートなどを介して感染を広げるそうです。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D によると、感染活動を行わない不正プログラムですので ウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。 とのことです。 Windows Updateで常に最新にしておく必要がありそうです。 今日もまた2つUpdateが出てました。(x_x) | ||||
|
投稿日時: 2003-08-21 10:25
ども。ほむらです。
僕も最近ポートフィルタではまっていたりします(笑 -------------- WORM_MSBLAST.Dは噂のMSBLASTERを駆除して パッチ適用までしてくれるというパッチがよくからない人には ありがたいウィルスです。(たしかうろ覚えですが クライアントとかにはうれしいんですけどね〜 マシンを見つけるのにICMPを使用するのでネットワークのトラフィックが 増えてしまってはた迷惑な限りです^^;;;;; ネット(ゲーム)が最近重いのもこのせいかな〜なんて。。。。 ちなみに、MSBLASTERはポート135にアクセスした後ポート4444も使用するという話です。 でも、ポート135はプリンタなどでも使用するので 閉じるのでなくてパッチを適用したほうがいいと思います。 ポート単位での閉じるのはルータの設定にした方がよいのでは? 個人的にはPersonal Firewallとかつかうとかえって邪魔になるだけのような。。。 # 以下追記 # RPC=ポート135という認識は嘘かも。。。。 # RPCはポート530みたいですね^^;;;; # なのでプリンタも使用しているという話もきっと嘘。。。失礼しました>< [ メッセージ編集済み 編集者: ほむら 編集日時 2003-08-21 10:53 ] | ||||
|
投稿日時: 2003-08-21 10:47
ども。ほむら@連続投稿^^;;;です
そういえばポート135(RPC)は感染後にDLさせた自分を実行するために使用します。 ポート135を閉じただけでは発病しないだけのはず。。。 感染で使用するのはポート69(TFTP)でしたっけ? ------------- なか-chan氏へ >今日もまた2つUpdateが出てました。(x_x) バッファーオーバーランに関するバグはウィンドウズのコアライブラリ そのほとんどに含まれていますのでまだまだでてくるでしょう。 (昔どこかのサイトで見たことがあります) ここからは、別件の質問なのですが 僕もポートフィルタリングにはまっています。 基本はNATルータタイプのADSLモデムで止める形になっています。 フィルタの設定は最後にLAN側からADSL側からともにIN/OUT全て拒否する形にしていて そのまえで必要な部分のみ開放(許可)しています。 で、、、、 ログを見てみると時々 192.168.0.100:137 > 192.168.0.255:137 をブロックしたような記述が 見つかるのですがこれはLAN側からのアクセスのみ許可してしまってよいのでしょうか? これってブロードキャストですよね? ということは、許可しても外部にまでパケットが飛んでいくことはしませんよね? 今こんな形で許可してしまおうかと思っているのですが。。。 LAN側からのアクセスに対して適用する形で 192.168.0.0/24 > 192.168.0.255/32 TCP:137-138 IN/OUT を 許可する # それにしてもICMPのアクセスがうっとうしい ̄ ̄;;;;; | ||||
|
投稿日時: 2003-08-21 10:57
日本語 Windows はパッチを当ててくれる対象に含まれていなかったはずなので、 日本語 Windows を使ってる人からすると、単に感染して被害を広めてくれる 迷惑なウイルスですけどね。 [ メッセージ編集済み 編集者: bun 編集日時 2003-08-21 13:36 ] | ||||
|
投稿日時: 2003-08-21 11:08
なか-chan様:
ほむら様: 早速のお返事ありがとうございます。 ウィルススキャンでは今回のウィルスをとめることができないのは わかっていたのですが、Firewallでもとめられないとなると・・・ モバイルの信用性が・・・ない(大汗) こんど、会社でモバイル用PCを配布する際に、Firewallを導入して 配布する予定だったのですが、今回のように実はブロックされているようで、 ウィルスに侵されているという状態では怖くて配布できないですよね。 困った(汗) だからといって、ルータを持ち歩くわけにもいかないし・・・。 なか-chan様: お話にありました、UDP69番ですが、これって感染されてからの 攻撃ポートなのですよね・・う〜む。 もし、このポートから攻撃されるのであれば、Personal Firewallに定義しないと。 まだ、調査の余地ありますね。(不明な点が多すぎ) ほむら様: RPCのポートは530番です。 これについては前から不思議だったのですけど。 もしかして、135番のポートも利用している? それとも、関連しているのだろうか・・・? フィルタリングのお話ですけど、ブロードキャストのパケットって なんらかの確認のためにとんでいるのではないでしょうか? (違っていたらごめんなさい) なんで、たぶん外には出ないですよね。 あ、Windows UPDATEが・・・。 あてて大丈夫なのだろうか・・・・・ でも、当てないと怖いし(八方ふさがり) | ||||
|
投稿日時: 2003-08-21 12:05
kanataさんこんにちは。
記事を読むと、最初は135にやってくるとあるので、 Personal Firewallでポート135を閉じていたつもりでも 入られたのが問題ってことになりますね...。 うーん。ありえるのかな? ・もう一度設定を確認する。 ・ポートが閉じているか実験してみる。 ・T社に問い合わせてみる。 といったところでしょうか。 [ メッセージ編集済み 編集者: なか-chan 編集日時 2003-08-21 12:11 ] | ||||
|
投稿日時: 2003-08-21 12:59
なか-chanさんこんにちわ。
|