http://internet.watch.impress.co.jp/cda/news/2004/05/03/2988.html

ウイルス対策プログラムベンダー各社は2日、接続しているだけで感染するBlasterタイプのワーム型ウイルス「W32.Sasser.worm」の発生を確認。すでに亜種「W32.Sasser.worm.B」の発生も確認されており、ユーザーへ注意を呼びかけている。

　W32.Sasser.worm（以下Sasser）は2003年8月に猛威をふるったBlasterウイルスと同様、OSの脆弱性を利用した、“ネットワークに接続しているだけで感染する”タイプのウイルス。企業などでは、ゴールデンウィーク明けの私物PCの持ち込みや、社内PCの脆弱性修正パッチ導入状況などに十分注意する必要がある。

　Sasserウイルスは、Windowsの脆弱性「MS04-011」に含まれる「LSASSの脆弱性」を利用してワーム活動を行なう。感染すると、TCPポート5554でFTPサーバーを起動。FTPサーバーを使って、他のPCへウイルス拡散を試みる。

　感染したPCは、ランダムに生成されたIPアドレスのTCPポート445に接続することを試み、接続が確立された場合、Sasserウイルスは接続先のPCに対して、TCP ポート9996上でリモートシェルの実行を可能とするシェルコードを送信。シェルを利用することによって、ポート5554上でFTPサーバに逆接続させ、ワームのコピーを取得させる。コピーのファイル名は、「74354_up.exe」のように、後半に _up.exe が付き、前半に4つまたは5つの数字が付く。

　ワーム活動を行なう際、拡散先となるIPアドレスは、次のような法則でランダムに生成される。50％の確率で完全にランダム、25％の確率で1番目のオクテットが感染したPCと同じIPアドレス、25％の確率で1番目と2番目のオクテットが感染したPCと同じIPアドレスを生成する。Sasserウイルスはこれらのランダムに生成されたIPアドレスを走査するために128のスレッドを開始するため、感染したPCの処理速度は極端に低下する。

　また、SasserウイルスはLSASS.EXEファイルをクラッシュさせることがあり、クラッシュが起きると、英文で「LSAシェルに問題が発生しました――（略）――マイクロソフトにこの問題を報告してください」という内容のメッセージを表示するウィンドウが現われ、システムが再起動するという。

　Sasserウイルスへの感染を防ぐには、Windows Updateを実行して、Windowsの脆弱性「MS04-011」のセキュリティ修正パッチを導入すればよい。また、シマンテック・トレンドマイクロ・ネットワークアソシエイツなどウイルス対策ソフト各社は、それぞれ亜種にも対応済みの定義ファイルをリリースしているほか、駆除ツールも提供している。

■URL
　 「MS04-011」のセキュリティ修正プログラム（マイクロソフト）
　 http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
　 シマンテック（W32.Sasser.Worm）
　 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
　 シマンテック（W32.Sasser.B.Worm）
　 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
　 トレンドマイクロ（WORM_SASSER.A）
　 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
　 トレンドマイクロ（WORM_SASSER.B）
　 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
　 ネットワークアソシエイツ（W32/Sasser.worm）
　 http://www.networkassociates.com/japan/security/virS.asp?v=W32/Sasser.worm
　 ネットワークアソシエイツ（W32/Sasser.worm.b）
　 http://www.networkassociates.com/japan/security/virS.asp?v=W32/Sasser.worm.b
　 W32.Sasser.worm ウイルスの発生について（@police）
　 http://www.cyberpolice.go.jp/important/2004/20040503_094530.html

■関連記事
・ ネットワークに接続しているだけで任意のコードを実行可能な脆弱性（2004/04/14）
http://internet.watch.impress.co.jp/cda/news/2004/04/14/2777.html

・ ISS、Windows SSL脆弱性に対する攻撃を確認〜Windows Updateを呼びかけ（2004/04/28）
http://internet.watch.impress.co.jp/cda/news/2004/04/28/2972.html

・ マイクロソフト、脆弱性修正プログラムの適用を強く推奨（2004/04/26）
http://internet.watch.impress.co.jp/cda/news/2004/04/26/2928.html

（ 工藤ひろえ ）
2004/05/03 14:22

　次へ 　前へ

ＩＴ5掲示板へ

フォローアップ:

• Sasserの欠陥を突く新たなワーム浮上【IT_Media記事】 クエスチョン 2004/5/17 20:34:14 (0)
• Sasserの作者逮捕につながったマイクロソフトの懸賞金【IT_Media記事】 クエスチョン 2004/5/11 23:44:34 (1)
  • 懸賞金狙いの情報が決め手――『サッサー』ウイルス作者検挙 クエスチョン 2004/5/11 23:45:28 (0)
• Sasserワーム、Netskyと合体して凶悪化の可能性【IT_Media記事】 クエスチョン 2004/5/10 21:35:19 (0)
• 「国内のSasser届け出数は少ないが油断は禁物，駆除ツールをかたるウイルスにも注意」――シマンテック【IT_Pro記事 クエスチョン 2004/5/10 21:34:35 (0)
• Sasserワーム関連【セキュリティーホールmemo】 クエスチョン 2004/5/07 00:35:36 (0)
• 「サッサー」被害１００万台超　新種のウイルス（共同通信） シジミ 2004/5/05 22:40:40 (0)

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。