ニュース
2004/05/14 09:25 更新
Sasserの欠陥を突く新たなワーム浮上
Sasserの脆弱性を突くワーム「Dabber」が発見された。別のワームが残したバックドアを利用するワームは以前にもあったが、拡散のために別のワームの脆弱性を利用するワームを目にしたのこれが初めてだとしている。
マネージドセキュリティサービス提供企業の米LURHQは5月13日、SasserワームのFTPサーバコンポーネントが持つ脆弱性を突いた新たなワームを発見したと報告した。
LURHQが「Dabber」という仮称で呼ぶこのワームの影響を受けるのは、Sasserに感染したユーザーのみ。LURHQでは、別のワームが残したバックドアを利用するワームは以前にもあったが、拡散のために別のワームの脆弱性を利用するワームを目にしたのこれが初めてだとしている。
このワームには、Romanian Security Researchの“mandragore”という人物が最近リリースしたSasser-FTPエクスプロイトコードが含まれるという。ポート5554でSasser感染ホストをスキャンし、発見するとエクスプロイトを使って一時的にポート8967にWindowsコマンドシェルをバインドする。その後、同ポート経由で対象ホストに接続して特定のコマンドを実行。このワームには、ターゲットシステムにワーム実行ファイルを送り込むためのTFTPサーバが組み込まれており、コマンドが実行される「package.exe」というファイルが対象のマシンにコピーされ実行される。
LURHQによると削除方法は、Windowsのタスクマネージャでpackage.exeのプロセスを終了させ、「sassfix」レジストリキーを削除、Windowsシステムディレクトリと全スタートアップフォルダからpackage.exeを削除する。
関連記事
Sasserワームにまた新たな亜種出現Sasserワームを作った犯人はほかにもいる?Sasserに便乗するNetsky亜種、作者のつながりも?Sasserの国内被害、連休明け急拡大ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を関連リンク
LURHQのDabberワーム分析[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
