年末年始休みを利用して、再度 blaster 感染実験を行ってみた。また、blaster
を駆除し OS にセキュリティパッチあて、2004年とともに自ら消え去るという
nachi も試してみることにした。
手順は次のとおり。
- 予備のハードディスクをフォーマットして、Windows 2000 Professional をインストールする。なお、ここで使用する
CD はリリース直後のアップグレード版なので、修正 patch は何も当たっていない。
- 画面キャプチャ用に winshot とパケットモニタ用に TCP Monitor plus をコピーしスタートアップに登録しておく。
- 感染時の特徴が確認できるように、感染前のフォルダとレジストリキーの内容をを確認しておく。
- 実際の感染経路を再現するために、msblaster.exe を windows\system32 フォルダに置き、実行し観察する。
- 次に nachi を 同様に windows\system32 フォルダに置き、実行し変化を確認する。
- PC のカレンダを 2003 年 12 月 31 日 23 時 59 分まで進め 2004 年に変わった時点を観察する。
- セキュリティ専門サイトの報告どおり nachi が消滅したら、再度 blaster を上記3により感染させる。
インストール直後に windows update に接続して、必要なモジュールの確認をした。
少し見づらいが、画面左側には、「重要な更新と Service Pack (7)」、「Windows 2000 (5)」、「ドライバの更新 (1)」と表示され、修正パッチがいっさい適用されていないことが確認できる。
実験に使用した blaster.exe。
サイズは、6,176 byte。
入手は某サイトのダウンロードサービス。
nachi は、10,240 byte を確認。
msblast 起動
起動と同時に、ランダムな IP ADDRESS に対する port 135 接続要求が始まった。
また、レジストリエディタで確認すると、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に windows auto update"="msblast.exe が追加されていた。
nachi 起動
nachi が稼働を始めると同時に msblast が稼働プロセスから消え、windows\system32 フォルダからも削除された。
レジストリエディタで確認すると、msblaster が追加した上記キーに変化は無かったが、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services に、 RpcPatch と RpcTftpd が追加されていた。
カレンダを進める
時計が 2004 年に変わっても nachi に変化は見られなかった。しばらく様子を見ていたが、やはり変化が見られないので PC を再起動した。
再起動直後にタスクマネージャを起動してプロセスを確認すると、一瞬 nachi のプロセス名である DLLHOST.EXE が確認できたが、すぐに終了してしまった。
しかし、上記レジストリの値は残ったままだった。
blaster 再感染
nachi が消えたので、blaster を windows\system32 にコピーし起動してみた。
即座に port 135 への接続要求が始まった。やはり、nachi が居なくなると blaster は再感染可能だった。
ここで、再度 nachi を感染させてみたところ、blaster を駆除した後、すぐに消滅した。
なお、再確認はしていないが、カレンダーを進めるとき手違いで 2003 年から 2005 年まで進めてしまったところ、nachi は稼働したままだった。
また、この実験中、OSに不安定な状況は発生することはなかった。
