速報
2004/05/03 19:45 更新

ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を

Windowsの脆弱性を突き、ネットに接続しているだけで感染する「Sasser」が発生。連休明けに一気に感染が拡大する可能性もあるとして厳重注意を呼び掛けている。

　ウイルス対策ソフトメーカー各社は5月2日、ワーム型ウイルス「Sasser」について警告した。猛威をふるった「Blaster」と同様、Windowsの脆弱性を突いてインターネットに接続しているだけで感染するタイプ。企業内などに未対策PCがあると、連休明けに一気に感染が拡大する可能性があるとして厳重注意を呼び掛けている。

　Microsoftが4月に発表した脆弱性「MS04-011」のうち、「LSASSの脆弱性」を悪用したワーム。感染するとTCP 5554ポートでFTPサーバを起動し、他のPCへの感染活動を行う。

　まずウイルスは、ランダムに生成したIPアドレスのTCP 445ポート上に接続を試み、接続に成功するとTCP 9996ポート上でリモートシェルの実行を可能にするシェルコードを送信。このシェルを使い、感染したPCの5554ポートに逆接続させ、ワームのコピーをFTPで取得させる仕組みだ。この際、ワームのコピーには4−5けたの数字の後に「_up.exe」と続くファイル名が付く。

　各社は対策として、ウイルス対策ソフトの定義ファイル更新に加え、TCP 5554、9996、445の各ポートをファイアウォールでブロックすると同時に、Microsoftが公開している修正パッチをインストールするよう呼び掛けている。

　トレンドマイクロは危険度を「高」（VAC-2）、シマンテックは、亜種「Sasser.B」の危険度を「4」、日本ネットワークアソシエイツは危険度「中」として注意を呼び掛けた。国内を含め欧米、アジア各地で感染報告があり、シマンテックには1時間に約150件の報告が寄せられるなど、感染流行の兆しを見せている。特に企業などのPCが一斉に起動する連休明けに注意が必要だ。

関連記事
今日、オフィスを出る前に……
明日から本格的にゴールデンウィークが始まる。だが休暇に入る前、PCの電源を落とす前に、パッチ適用をはじめとするセキュリティ対策の再確認を行いたい。

GW前にMS04-011への対応を――経産省、総務省らが連名で呼びかけ
Windowsに存在するSSLの脆弱性を悪用するコードが登場したことを踏まえ、経済産業省と総務省、警察庁、内閣官房が共同で対策を呼びかけている。

Windowsの脆弱性を突くコード、またも登場
新たに登場したLSASSの脆弱性実証コードは、修正しなければ機能しないため、すぐには脅威にならないとされている。だが先週登場したSSL脆弱性の実証コードについては、既に攻撃が報告されている。（IDG）


関連リンク
シマンテック「W32.Sasser.Worm」
シマンテック「W32.Sasser.B.Worm」
トレンドマイクロ「WORM_SASSER.A」
トレンドマイクロ「WORM_SASSER.B」
ネットワークアソシエイツ「W32/Sasser.worm」
ネットワークアソシエイツ「W32/Sasser.worm.b」
マイクロソフト「MS04-11」

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.