Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

“接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生

~ウイルス対策ソフトベンダーや警察庁などが警戒を呼びかけ

 ウイルス対策プログラムベンダー各社は2日、接続しているだけで感染するBlasterタイプのワーム型ウイルス「W32.Sasser.worm」の発生を確認。すでに亜種「W32.Sasser.worm.B」の発生も確認されており、ユーザーへ注意を呼びかけている。

 W32.Sasser.worm(以下Sasser)は2003年8月に猛威をふるったBlasterウイルスと同様、OSの脆弱性を利用した、“ネットワークに接続しているだけで感染する”タイプのウイルス。企業などでは、ゴールデンウィーク明けの私物PCの持ち込みや、社内PCの脆弱性修正パッチ導入状況などに十分注意する必要がある。

 Sasserウイルスは、Windowsの脆弱性「MS04-011」に含まれる「LSASSの脆弱性」を利用してワーム活動を行なう。感染すると、TCPポート5554でFTPサーバーを起動。FTPサーバーを使って、他のPCへウイルス拡散を試みる。

 感染したPCは、ランダムに生成されたIPアドレスのTCPポート445に接続することを試み、接続が確立された場合、Sasserウイルスは接続先のPCに対して、TCP ポート9996上でリモートシェルの実行を可能とするシェルコードを送信。シェルを利用することによって、ポート5554上でFTPサーバに逆接続させ、ワームのコピーを取得させる。コピーのファイル名は、「74354_up.exe」のように、後半に _up.exe が付き、前半に4つまたは5つの数字が付く。

 ワーム活動を行なう際、拡散先となるIPアドレスは、次のような法則でランダムに生成される。50%の確率で完全にランダム、25%の確率で1番目のオクテットが感染したPCと同じIPアドレス、25%の確率で1番目と2番目のオクテットが感染したPCと同じIPアドレスを生成する。Sasserウイルスはこれらのランダムに生成されたIPアドレスを走査するために128のスレッドを開始するため、感染したPCの処理速度は極端に低下する。

 また、SasserウイルスはLSASS.EXEファイルをクラッシュさせることがあり、クラッシュが起きると、英文で「LSAシェルに問題が発生しました――(略)――マイクロソフトにこの問題を報告してください」という内容のメッセージを表示するウィンドウが現われ、システムが再起動するという。

 Sasserウイルスへの感染を防ぐには、Windows Updateを実行して、Windowsの脆弱性「MS04-011」のセキュリティ修正パッチを導入すればよい。また、シマンテック・トレンドマイクロ・ネットワークアソシエイツなどウイルス対策ソフト各社は、それぞれ亜種にも対応済みの定義ファイルをリリースしているほか、駆除ツールも提供している。

関連情報

URL
  「MS04-011」のセキュリティ修正プログラム(マイクロソフト)
  http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
  シマンテック(W32.Sasser.Worm)
  http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
  シマンテック(W32.Sasser.B.Worm)
  http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
  トレンドマイクロ(WORM_SASSER.A)
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
  トレンドマイクロ(WORM_SASSER.B)
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
  ネットワークアソシエイツ(W32/Sasser.worm)
  http://www.networkassociates.com/japan/security/virS.asp?v=W32/Sasser.worm
  ネットワークアソシエイツ(W32/Sasser.worm.b)
  http://www.networkassociates.com/japan/security/virS.asp?v=W32/Sasser.worm.b
  W32.Sasser.worm ウイルスの発生について(@police)
  http://www.cyberpolice.go.jp/important/2004/20040503_094530.html

関連記事
ネットワークに接続しているだけで任意のコードを実行可能な脆弱性(2004/04/14)
ISS、Windows SSL脆弱性に対する攻撃を確認~Windows Updateを呼びかけ(2004/04/28)
マイクロソフト、脆弱性修正プログラムの適用を強く推奨(2004/04/26)


( 工藤ひろえ )
2004/05/03 14:22

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.