またWindowsのウイルスか　しかもGW連休明け

---

感染するのはWindows 2000／XPのみでWindows 98／98 SE／Me／NT 4.0 には，このセキュリティ・ホールは存在しないので感染しないそうだ。TOTOROの自堕落　日記さんが5月3日に65536個のIPアドレスに対して調査したところ既に感染してしまった数 5.08%（約3300台）　2003年のPC出荷台数がおよそ1200万台らしいので5％が感染しているとすると相当数の台数が感染していると考えられる。








Sasserウイルスの特長をまとめてみると





Sasserウイルスは、Windowsの脆弱性「MS04-011」に含まれる「LSASSの脆弱性」を利用してワーム活動を行なう。感染すると、TCPポート5554でFTPサーバーを起動。FTPサーバーを使って、他のPCへウイルス拡散を試みる。





Sasserウイルスはこれらのランダムに生成されたIPアドレスを走査するために128のスレッドを開始するため、CPU使用率が100％になる場合もあり感染したPCの処理速度は極端に低下する。場合よってはPCがリスタートしたり、フリーズしたりする。





ウイルス対策ソフト各社は、ウイルス対策ソフトの定義ファイル更新に加え、TCP 5554、9996、445の各ポートをファイアウォールでブロックすると同時に、Microsoftが公開している修正パッチをインストールするよう呼び掛けている











一番の対策は「MS04-011」のパッチを適用すること。これは4月中旬にWindowsUPDATEで公開されたはず。ルーターでTCPポート445／5554／9996番をふさぐことでもSasserの感染を防げるが，別のポートを狙う新種／変種ワームには対応できないので，パッチを適用することが一番有効だろう。ルーターでのブロックはLANの内側にSasserに感染したPCが接続されると無力なので、企業内で使う場合はパッチを当てる以外の対策はほんの気休めにしかならない。





インターネットに接続するときにルーターを使わない人や、ISDNやダイアルアップの人が長時間接続している人が危険度高そうだ。ブロードバンドユーザーであればPCは1台しかなくてもルーターをちゃんと設定して使うとよいだろう。社内で感染騒ぎになった時に疑われないために、5月6日には会社に自分のパソコンを持っていかない方がいいかもしれないぞ











シマンテックのW32.Sasser 駆除ツール


http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html


シマンテックによると亜種が4種類ほど確認されているようだ。


W32.Sasser.Worm


W32.Sasser.B.Worm


W32.Sasser.C.Worm


W32.Sasser.D.Worm








関連記事


●GW前にMS04-011への対応を――経産省、総務省らが連名で呼びかけ [IT Media]


●ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を [IT Media]


●“接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生 [インプレスインターネットウォッチ]


●Windowsのセキュリティ・ホールを突くワームが流行中，連休明けは要注意 [日経BP]











アキバBlogトップページへ