速報
» 2004年05月14日 09時07分 UPDATE

Sasserの欠陥を突く新たなワーム浮上

Sasserの脆弱性を突くワーム「Dabber」が発見された。別のワームが残したバックドアを利用するワームは以前にもあったが、拡散のために別のワームの脆弱性を利用するワームを目にしたのこれが初めてだとしている。

[ITmedia]

 マネージドセキュリティサービス提供企業の米LURHQは5月13日、SasserワームのFTPサーバコンポーネントが持つ脆弱性を突いた新たなワームを発見したと報告した。

 LURHQが「Dabber」という仮称で呼ぶこのワームの影響を受けるのは、Sasserに感染したユーザーのみ。LURHQでは、別のワームが残したバックドアを利用するワームは以前にもあったが、拡散のために別のワームの脆弱性を利用するワームを目にしたのこれが初めてだとしている。

 このワームには、Romanian Security Researchの“mandragore”という人物が最近リリースしたSasser-FTPエクスプロイトコードが含まれるという。ポート5554でSasser感染ホストをスキャンし、発見するとエクスプロイトを使って一時的にポート8967にWindowsコマンドシェルをバインドする。その後、同ポート経由で対象ホストに接続して特定のコマンドを実行。このワームには、ターゲットシステムにワーム実行ファイルを送り込むためのTFTPサーバが組み込まれており、コマンドが実行される「package.exe」というファイルが対象のマシンにコピーされ実行される。

 LURHQによると削除方法は、Windowsのタスクマネージャでpackage.exeのプロセスを終了させ、「sassfix」レジストリキーを削除、Windowsシステムディレクトリと全スタートアップフォルダからpackage.exeを削除する。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -