ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を

[ITmedia]

　ウイルス対策ソフトメーカー各社は5月2日、ワーム型ウイルス「Sasser」について警告した。猛威をふるった「Blaster」と同様、Windowsの脆弱性を突いてインターネットに接続しているだけで感染するタイプ。企業内などに未対策PCがあると、連休明けに一気に感染が拡大する可能性があるとして厳重注意を呼び掛けている。

　Microsoftが4月に発表した脆弱性「MS04-011」のうち、「LSASSの脆弱性」を悪用したワーム。感染するとTCP 5554ポートでFTPサーバを起動し、他のPCへの感染活動を行う。

　まずウイルスは、ランダムに生成したIPアドレスのTCP 445ポート上に接続を試み、接続に成功するとTCP 9996ポート上でリモートシェルの実行を可能にするシェルコードを送信。このシェルを使い、感染したPCの5554ポートに逆接続させ、ワームのコピーをFTPで取得させる仕組みだ。この際、ワームのコピーには4−5けたの数字の後に「_up.exe」と続くファイル名が付く。

　各社は対策として、ウイルス対策ソフトの定義ファイル更新に加え、TCP 5554、9996、445の各ポートをファイアウォールでブロックすると同時に、Microsoftが公開している修正パッチをインストールするよう呼び掛けている。

　トレンドマイクロは危険度を「高」（VAC-2）、シマンテックは、亜種「Sasser.B」の危険度を「4」、日本ネットワークアソシエイツは危険度「中」として注意を呼び掛けた。国内を含め欧米、アジア各地で感染報告があり、シマンテックには1時間に約150件の報告が寄せられるなど、感染流行の兆しを見せている。特に企業などのPCが一斉に起動する連休明けに注意が必要だ。