W32.Blaster.K.Worm は TCP ポート 135 を使用してDCOM RPC の脆弱性 ( マイクロソフト セキュリティ情報 MS03-026 参照) を悪用するワームです。
このワームが目標とするのは Windows 2000 と Windows XP のコンピュータだけです。 ファイアウォール レベルで TCP ポート 4444 へのアクセスをブロックしてください。
それから以下のアプリケーションを使用しない場合には次のポートをブロックしてください:
TCP Port 135, \"DCOM RPC\"
UDP Port 69, \"TFTP\"
またこのワームは、Microsoft Windows Update Web サーバ (windowsupdate.com) に対しサービス拒否 (DoS) 攻撃を仕掛けようとします。
それは DCOM RPC の脆弱性を解消する修正プログラムを適用できないようにするためです。このワームが実行されると、以下の症状を発生します: IP アドレスを生成してそのアドレスのコンピュータに感染しようとします。 DCOM RPC の脆弱性を利用して TCP ポート 135上にデータを送信します。
このワームは以下の二タイプのデータのうち一つを送信します: Windows XP または Windows 2000 を利用します。 Cmd.exe を利用して隠しリモート シェル プロセスを生成し TCP ポート 4444 上でリッスンします。攻撃者に感染システム上でリモート コマンドを実行することを許可します。 UDP ポート 69 上でリッスンします。このワームが DCOM RPC の脆弱性を利用して接続することのできたコンピュータからの要求を受信すると、mschost.exe をコンピュータに送信してそれを実行します。
このワームは以下のテキストをコードの中に含んでいます: Can you hear me? I LOVE YOU SAN!! Sucky gates why do you made this windows? Stop fooling around and make good things!!!