memo.xight.org

日々のメモ

WORM_MSBLAST.A

別名

  W32/Lovsan.worm
  W32.Blaster.Worm
  Lovsan

詳細

  MS03-026のセキュリティホールを利用するworm
  windowsupdate.com に対してDoSアタック
  感染したコンピュータはWindowsが再起動される

対象OS

  Windows NT
  Windows 2000
  Windows XP
  Windows 2003Server

感染確認方法

  Windows のシステムディレクトリに MSBLAST.EXE が作成
  以下のレジストリの値をチェック
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  "windows auto update" = "MSBLAST.EXE"

対処法

  以下のレジストリを削除
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  "windows auto update" = "MSBLAST.EXE"

Reference

  Trendmicro - WORM_MSBLAST.A 概要
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
  Microsoft Product Support Services - 823980 - [MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される
  http://support.microsoft.com/default.aspx?scid=kb;ja;823980