キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Sasser.A、B、C、D
公開日:2004年05月06日
このウイルスに関する危険度 :■■■■
対応定義ファイル Win32/Sasser.A
定義ファイルバージョン1.745 (20040501) 以降で対応済みです。
Win32/Sasser.B
定義ファイルバージョン1.746 (20040501) 以降で対応済みです。
Win32/Sasser.C
定義ファイルバージョン1.747 (20040502) 以降で対応済みです。
Win32/Sasser.D
定義ファイルバージョン1.748 (20040503) 以降で対応済みです。
Win32/Sasser.E
定義ファイルバージョン1.754 (20040509) 以降で対応済みです。
Win32/Sasser.F
定義ファイルバージョン1.758 (20040513) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染が拡大している
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


■Win32/Sasser.A

Win32/Sasser.A は、Microsoft Windows の脆弱性を利用して活動するワームです。
そのサイズは、約15KBです。

注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しています。

このワームが実行されると、このワームは自分自身を %windir%\avserve.exe としてコピーして、次のレジストリキーを作成して、システムの再起動時に活動を開始できるようにします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
" avserve.exe" = "%windir%\avserve.exe"

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)

このワームは感染を広げるために、単純なFTPサーバー機能を備えており、TCP5554番ポートを開きます。これによって、Win32/Sasser.A ワームだけがアクセスして実行可能になる状態になります。

このワームは、Microsoft Windows が稼動しているマシンの脆弱性を調査して、445番ポートに接続することによって、CAN-2003-0553 に関する脆弱性を利用して攻撃することを試みます。その攻撃が成功した場合、このワームは上記FTP機能を使って、リモートマシンにワームをダウンロードします。このダウンロードされたワームは、 %windir% フォルダに、[ランダムな数字]_up.exe というファイル名で保存されます。

■Win32/Sasser.B および Win32/Sasser.C

Win32/Sasser.B および Win32/Sasser.C は、Win32/Sasser.A の亜種です。脆弱性のあるマシンを調査して、さらに広範囲に感染を広げることを試みるアルゴリズムを備えています。%windir% にコピーされるワームのファイル名は、avserve2.exe です。他の文字列もWin32/Sasser.Aとは異なる場合があります。

Microsoft Windowsの脆弱性:
このワームはWindowsの脆弱性を利用して活動することが知られています。詳細はMicrosoft社のセキュリティ情報をご参照ください。

http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp

この脆弱性を利用されると、攻撃者(ワーム)に様々な方法(悪意あるプログラムをインストールされたり、アカウントを作成されるなど)でリモートコンピュータをコントロールされてしまいます。上記Microsoft社のWebサイトでは感染されたプラットフォームに対する適用可能な修正プログラムを配布しています。

アンチウイルスプログラムの更新の有無に関わらず、対応する修正プログラムを適用してください。

注意:
Windows Me および Windows XP においては、ウイルスに感染したファイルを削除しても、自動的に復元されることがあります。これはWindowsが「システムの復元」機能を使っているためであり、この機能を無効にしてからシステムを再起動してください。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.745(Win32/Sasser.A)、1.746(Win32/Sasser.B)、1.747(Win32/Sasser.C)にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。

■Win32/Sasser.D

Win32/Sasser.D は、Microsoft Windows の脆弱性を利用して活動するSasserワームの亜種です。
アンチウイルスプログラムの更新の有無に関わらず、

http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp


で対応する修正プログラムを適用してください。

感染したコンピュータでは、LSASS.EXE プロセスが正常に動作しなくなり、TCP445,5554,9996番ポートに過剰なトラフィックが発生します。

このワームのサイズは、16,384バイトです。

このワームが実行されると、このワームは自分自身を %windir%\skynetave.exe としてコピーして、次のレジストリキーを作成して、システムの再起動時に活動を開始できるようにします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
" skynetave.exe" = "%windir%\skynetave.exe"

また、このワームは次のファイルを作成します。これらのコピーも作成することがあります。

c:\win2.log
%windir%\system32\[ランダムな5桁の数字]_up.exe

このワームは、上記Microsoft Windowsの脆弱性が存在する(TCP445番ポートを開いている感染可能なマシン)コンピュータを調査するために、1024個のランダムなIPアドレスをスキャンするプログラム(1024個のスレッド)を実行します。これによって、上記修正プログラムを適用していないマシンが存在するネットワークでは過負荷の状態になることがあります。

このワームは感染を広げるために、単純なFTPサーバー機能を備えており、TCP9996番ポートを開きます。これによって、Win32/Sasser.D ワームだけがアクセスして実行可能になる状態になります。さらにこのワームが作成するスクリプトによって、TCP5554番ポートが開かれて、リモートマシンにワームをダウンロードします。このダウンロードされたワームは、%windir% フォルダに、[ランダムな数字]_up.exe というファイル名で保存されます。

このワームは、c:\win2.logファイルに、上記FTP機能で転送されたファイルに関する情報を記録します。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.748にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。

■Win32/Sasser.A、B、C、D、E、F 駆除ツール

本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1. 駆除ツール ssrclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに保存してください。(例"c:\download")
2. ssrclean.exe を実行してください。
3.

ディスクスキャンの実施

ディスクスキャンの実施
駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。

【注意】下記が出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。

警告メッセージ

ディスクスキャン結果

4. ウイルスを削除する確認ダイアログが表示されますので [ Yes ] を選択してください。

検知したウイルスの駆除・削除の確認
 
以上で作業が完了しました。 [ OK ] ボタンを押してください。

再起動の確認
5. Windowsを再起動してください。以上で完了です。
このページのトップへ

(C)Canon IT Solutions Inc.