未だに「MS08-067」の脆弱性を悪用するワームの感染被害が後を立たないらしい．トレンドマイクロによれば，ネットワーク型ウイルス「WORM_DOWNAD」の感染被害が広まっているとのこと．日本国内では11月25日に初めて観測され，現在も局地的に大規模感染が報告されているらしい．

　「MS08-067」は特別に細工されたRPC要求を適切に処理出来ないという脆弱性である．これによって，特殊な細工をされたパケットを受け取ったとき，任意のコードを実行させられてしまう危険性がある．TCP445を無作為にスキャンして，Windows Serverサービスの稼動を調べ，細工したパケットを送信することで，ワームを感染させる．そして，そのワームは引用した記事にあるように，1024〜10000番ポートの間で無作為のポートを開き，システムにマルウェアをダウンロードさせる．そして，ワームは更に感染PCから他の脆弱なPCをスキャンして，感染を広げていく．(関連[1])

　「MS08-067」攻撃の被害続く、トレンドマイクロが詳細分析 - INTERNETWatch

トレンドマイクロによれば、「WORM_DOWNAD」については、脆弱性が未修正の一部のPCで予期せぬ再起動が繰り返されるほか、正規プロセス（svchost.exe -k netsvcs）により起動されたサービスが一斉に停止したり、意図せぬTCP 445番ポートへの通信によって帯域が圧迫されるなどの報告が寄せられているという。また、攻撃者の意図通り攻撃が成立した場合は、表層的な症状が現れない場合もあるとしている。

　初期の感染経路としては、他のウイルスと同様に、スパムメールの添付ファイル、悪意のあるWebサイト、利用者自身の手によるインストールなどの可能性が高いという。また、感染したPCをHTTP（Web）サーバーとすることで、ネットワークを介してさらに感染を拡大させる2種類のワーム活動が特徴であるとしている。
　　　　　「MS08-067」攻撃の被害続く、トレンドマイクロが詳細分析 - INTERNETWatchより引用

　「WORM_DOWNAD」の主な機能は，「脆弱性を利用してPCに感染する」「他のパソコンをスキャンして感染対象を探す」「感染PCをWEBサーバー化してポートを開き，HTTPリクエストを返してきたセキュリティホールのあるPCに対して，ワームのコピーを感染させる」がある．その他，詳しくは関連[1]及び上記INTERNETWatchの記事を参照して欲しい．

　まだまだ収まりそうにない，「MS08-067」を悪用したワームの被害．早急に「MS08-067」のセキュリティアップデートを行うことが推奨される．

関連：
[1] 「MS08-067」を悪用したワームが猛威を振るっている
[2] 「MS08-067」について
[3] MS08-067狙うワームが実際に登場か
[4] Windowsの脆弱性(MS08-067)を突く新たなExploitが公開される