Blaster関連メモ
<情報>
- 「Blasterワーム対策方法」 (MS)
- Blaster への対策 - Windows XP 編 (MS)
- Blaster への対策 - Windows 2000/Windows NT 4.0 編 (MS)
- 感染した場合の対策について (MS)
- Windows RPC インターフェースの脆弱性への再度の注意喚起 (IPA)
MSBLAST対策Web (Trendmicro)
<駆除ツール類>
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
- W32.Blaster.Worm Removal Tool(Blaster、Blaster.Bに対応) (Symantec)
<技術資料>
Blaster Worm Update (ISC)http://isc.sans.org/diary.html?date=2003-08-14
- Code Analysis (PDF File)
Blaster Worm Analysis (eEye) http://www.eeye.com/html/Research/Advisories/AL20030811.html
- View eEye's detailed comments of the Blaster Worm assembly code
- View eEye's comments of the Metasploit exploit assembly code
ワームが侵入した場合
W32.Blaster.A,WORM_MSBLAST.A,W32/Lovsan.worm.aの場合→msblast.exe (6,176 バイト)
W32.Blaster.B,WORM_MSBLAST.B,W32/Lovsan.worm.cの場合→penis32.exe (7,200 バイト)
W32.Blaster.C,WORM_MSBLAST.C,W32/Lovsan.worm.bの場合→index.exe (32,045 バイト) 、root32.exe (19,798 バイト)、teekids.exe (5,360 バイト)
- 追加されたレジストリの値を削除
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :"windows auto update" = "MSBLAST.EXE"
こういうのもあるよう
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Inet Xp.. = teekids.exe Microsoft can suck my left testi! Bill