« 松下、「Let'snote W4」のハイエンドモデルを200台限定直販 | Main | unace にバッファオーバフローの脆弱性 »

›10 25, 2005

Mocbot.Aが悪用するのは、「MS05-047」ではなく「MS05-039」だった

[ PCニュース ]

 なんだか複雑なことになりましたが、WindowsUpdateをやっておくといいと思う

 当初、Windows XP/2000におけるプラグアンドプレイの脆弱性「MS05-047」を突いて侵入するとされていたウイルス「Mocbot.A」だが、実際にはMS05-047ではなく、8月に公開された別のプラグランドプレイの脆弱性「MS05-039」を突くウイルスだったことがわかった。複数のセキュリティベンダーが明らかにした。
 
 Mocbot.Aは、脆弱性を悪用してPCに侵入し、実行されると自身をWindowsのシステムフォルダ内に「wudpcom.exe」として複製するとともにレジストリを改変する。さらに「bbjj.househot.com」「ypgw.wallloan.com」という2つのIRCサーバーに接続。バックドアを作成し、リモートの攻撃者からの指示により、ファイルのダウンロードや実行、DDoS攻撃などのボット活動を行なう。
 
 当初、米TrendMicroやフィンランドのF-Secureでは、このMocbot.AがMS05-047を悪用するとしていたが、その後の調査でMS05-039を悪用するウイルスであることが判明した。F-Secureによると「Mocbotに使われていた実行コードが、公開されていたMS05-047を攻撃するコードに似ていたため混乱が生じた」という。

Mocbot.Aが悪用するのは、「MS05-047」ではなく「MS05-039」だった


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?