Sasserの欠陥を突く新たなワーム浮上

[ITmedia]

　マネージドセキュリティサービス提供企業の米LURHQは5月13日、SasserワームのFTPサーバコンポーネントが持つ脆弱性を突いた新たなワームを発見したと報告した。

　LURHQが「Dabber」という仮称で呼ぶこのワームの影響を受けるのは、Sasserに感染したユーザーのみ。LURHQでは、別のワームが残したバックドアを利用するワームは以前にもあったが、拡散のために別のワームの脆弱性を利用するワームを目にしたのこれが初めてだとしている。

　このワームには、Romanian Security Researchの“mandragore”という人物が最近リリースしたSasser-FTPエクスプロイトコードが含まれるという。ポート5554でSasser感染ホストをスキャンし、発見するとエクスプロイトを使って一時的にポート8967にWindowsコマンドシェルをバインドする。その後、同ポート経由で対象ホストに接続して特定のコマンドを実行。このワームには、ターゲットシステムにワーム実行ファイルを送り込むためのTFTPサーバが組み込まれており、コマンドが実行される「package.exe」というファイルが対象のマシンにコピーされ実行される。

　LURHQによると削除方法は、Windowsのタスクマネージャでpackage.exeのプロセスを終了させ、「sassfix」レジストリキーを削除、Windowsシステムディレクトリと全スタートアップフォルダからpackage.exeを削除する。