前の記事に書いた、不審なSEARCHコマンドについて、webをさまよって調べると、下記の記事にヒット。
http://memoirs.is.kochi-u.ac.jp/Vol29/MemoirsF29-04.pdf
これによると、W32.HLLW.Gaobot.genなるウィルスが、非常によく似たSEARCHコマンドを投げてくるようだ。
このウィルスが狙っているのは、MS03-007の脆弱性「Windows コンポーネントの未チェックのバッファにより、Web サーバーが侵害される」というもの。
また同時に、MS FrontPageの脆弱性を突くための攻撃、fp30reg.dllも来ているとのこと。
この記事と同じパターンの攻撃のようだ。
やってきていたのは、これの亜種だろうか?
ログをよく見ると、
最初にGETコマンドで接続してURLを確認し、
次にSEARCHコマンドで不正なHTTPリクエストを行い、
最後にFrontPageを攻略するためのdllをPOSTする。
3つがワンセットだ。
MS03-007というのは、2003年にMSからパッチが提供されているものだが、まだ適用されてないPCがたくさんあるということだろうか。
http://memoirs.is.kochi-u.ac.jp/Vol29/MemoirsF29-04.pdf
これによると、W32.HLLW.Gaobot.genなるウィルスが、非常によく似たSEARCHコマンドを投げてくるようだ。
このウィルスが狙っているのは、MS03-007の脆弱性「Windows コンポーネントの未チェックのバッファにより、Web サーバーが侵害される」というもの。
また同時に、MS FrontPageの脆弱性を突くための攻撃、fp30reg.dllも来ているとのこと。
この記事と同じパターンの攻撃のようだ。
やってきていたのは、これの亜種だろうか?
ログをよく見ると、
最初にGETコマンドで接続してURLを確認し、
次にSEARCHコマンドで不正なHTTPリクエストを行い、
最後にFrontPageを攻略するためのdllをPOSTする。
3つがワンセットだ。
MS03-007というのは、2003年にMSからパッチが提供されているものだが、まだ適用されてないPCがたくさんあるということだろうか。
