 |
 |
|
| 最新ニュース |
|
|
【 2009/12/25 】 【 2009/12/24 】 |
|
|
||||||
|
||||||
|
||||||
| “接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生 | ||||||
|
||||||
|
||||||
|
||||||
|
ウイルス対策プログラムベンダー各社は2日、接続しているだけで感染するBlasterタイプのワーム型ウイルス「W32.Sasser.worm」の発生を確認。すでに亜種「W32.Sasser.worm.B」の発生も確認されており、ユーザーへ注意を呼びかけている。 W32.Sasser.worm(以下Sasser)は2003年8月に猛威をふるったBlasterウイルスと同様、OSの脆弱性を利用した、“ネットワークに接続しているだけで感染する”タイプのウイルス。企業などでは、ゴールデンウィーク明けの私物PCの持ち込みや、社内PCの脆弱性修正パッチ導入状況などに十分注意する必要がある。 Sasserウイルスは、Windowsの脆弱性「MS04-011」に含まれる「LSASSの脆弱性」を利用してワーム活動を行なう。感染すると、TCPポート5554でFTPサーバーを起動。FTPサーバーを使って、他のPCへウイルス拡散を試みる。 感染したPCは、ランダムに生成されたIPアドレスのTCPポート445に接続することを試み、接続が確立された場合、Sasserウイルスは接続先のPCに対して、TCP ポート9996上でリモートシェルの実行を可能とするシェルコードを送信。シェルを利用することによって、ポート5554上でFTPサーバに逆接続させ、ワームのコピーを取得させる。コピーのファイル名は、「74354_up.exe」のように、後半に _up.exe が付き、前半に4つまたは5つの数字が付く。 ワーム活動を行なう際、拡散先となるIPアドレスは、次のような法則でランダムに生成される。50%の確率で完全にランダム、25%の確率で1番目のオクテットが感染したPCと同じIPアドレス、25%の確率で1番目と2番目のオクテットが感染したPCと同じIPアドレスを生成する。Sasserウイルスはこれらのランダムに生成されたIPアドレスを走査するために128のスレッドを開始するため、感染したPCの処理速度は極端に低下する。 また、SasserウイルスはLSASS.EXEファイルをクラッシュさせることがあり、クラッシュが起きると、英文で「LSAシェルに問題が発生しました――(略)――マイクロソフトにこの問題を報告してください」という内容のメッセージを表示するウィンドウが現われ、システムが再起動するという。 Sasserウイルスへの感染を防ぐには、Windows Updateを実行して、Windowsの脆弱性「MS04-011」のセキュリティ修正パッチを導入すればよい。また、シマンテック・トレンドマイクロ・ネットワークアソシエイツなどウイルス対策ソフト各社は、それぞれ亜種にも対応済みの定義ファイルをリリースしているほか、駆除ツールも提供している。
■ URL 「MS04-011」のセキュリティ修正プログラム(マイクロソフト) http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp シマンテック(W32.Sasser.Worm) http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html シマンテック(W32.Sasser.B.Worm) http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html トレンドマイクロ(WORM_SASSER.A) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A トレンドマイクロ(WORM_SASSER.B) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B ネットワークアソシエイツ(W32/Sasser.worm) http://www.networkassociates.com/japan/security/virS.asp?v=W32/Sasser.worm ネットワークアソシエイツ(W32/Sasser.worm.b) http://www.networkassociates.com/japan/security/virS.asp?v=W32/Sasser.worm.b W32.Sasser.worm ウイルスの発生について(@police) http://www.cyberpolice.go.jp/important/2004/20040503_094530.html 関連記事:ISS、Windows SSL脆弱性に対する攻撃を確認~Windows Updateを呼びかけ[INTERNET Watch] http://internet.watch.impress.co.jp/cda/news/2004/04/28/2972.html 関連記事:マイクロソフト、脆弱性修正プログラムの適用を強く推奨[INTERNET Watch] http://internet.watch.impress.co.jp/cda/news/2004/04/26/2928.html ■ 関連記事 ・ ネットワークに接続しているだけで任意のコードを実行可能な脆弱性 (工藤ひろえ) 2004/05/06 11:18 |
 |
|
| Broadband Watch ホームページ |
|
|
|
|
 |
|
| Copyright (c) 2004 Impress Corporation All rights reserved. |
|