W32.Sasser.Worm は、マイクロソフト セキュリティ情報 MS04-011 で解説されている脆弱性の悪用を試みるワームです。このワームは、ランダムに選択された IP アドレスを持つコンピュータをスキャンすることによって、上述の脆弱性に未対応のシステムを探し出して拡散します。

• このワームの MD5 ハッシュ値は、0xA73C16CCD0B9C4F20BC7842EDD90FC20 です。
  
• Symantec Security Response は、 W32.Sasser.Worm の感染を駆除する駆除ツールを開発しました。
  

別名: W32/Sasser.worm [McAfee], WORM_SASSER [Trend], Worm.Win32.Sasser.a [Kaspersky], W32/Sasser-A [Sophos]

種別: ワーム

感染サイズ: 15,872 バイト

影響を受けるシステム: Windows 2000, Windows XP

影響を受けないシステム: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003

対応日(Intelligent Updater)* 2004/05/01(米国時間) 対応日(Live UpdateTM)** 2004/05/01(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 50-999 報告件数: 10以上 地域感染度: 高 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 高 ダメージ: 低 感染力: 中

ダメージ

• 発症のタイミング: n/a
  
• 発病症状: n/a
  
  • 大量メール送信: n/a
    
  • ファイル削除: n/a
    
  • ファイル改ざん: n/a
    
  • 秘密情報の漏洩: n/a
    
  • パフォーマンス低下: 大幅なパフォーマンス低下を引き起こす
    
  • システムの不安定化: n/a
    
  • 不正アクセス: n/a
    

感染力

• メール件名: n/a
  
• 添付ファイル: n/a
  
• 添付ファイルのタイムスタンプ: n/a
• 添付ファイルのサイズ: n/a
• ポート: TCP 445, 5554, 9996
  
• 共有ドライブ: n/a
  
• 感染対象: LSASS の脆弱性 に対応する修正プログラム (MS04-011) が未適用のシステム
  

W32.Sasser.Worm が実行されると、次のことを行います。

1. "Jobaka3l"という名のミューテックスを作成します（作成に失敗した場合、感染活動を中止します）。これにより、ワームが1度に1つのみ実行されるようにします。
   
   
2. 自身を %Windir%\avserve.exe としてコピーします。
   
   

   ---

   注意: %Windir% は可変です。このワームは、 Windows のインストール・フォルダ (標準では、C:\Windows あるいは C:\Winnt) を探し出し、自分自身をその場所にコピーします。
   

   ---

   
   
3. 次の値を
   
   "avserve.exe"="%Windir%\avserve.exe"
   
   次のレジストリキーに追加することによって
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   Windows の起動時に必ずワームが実行されるように設定します。
   
   
4. コンピュータのシャットダウン または 再起動の試みを妨げるために、AbortSystemShutdown API を利用します。
   
   
5. TCP ポート 5554 で、FTP サーバを開始します。このサーバは、他のホストへワ−ムを拡散させるために使用されます。
   
   
6. すべてのホスト IP アドレスを繰返しスキャンし、次の IP アドレスを除く IP アドレスを探します。
   
   • 127.0.0.1
     
   • 10.x.x.x
     
   • 172.16.x.x - 172.31.x.x
     
   • 192.168.x.x
     
   • 169.254.x.x
     
   
   
7. 上記で発見した IP アドレスのうち 1 つをベースに、次のいずれかの様式のランダムな IP アドレスを生成します。
   
   • 52% の確率で、完全にランダム
     
   • 23% の確率で、下位 3 オクテットをランダムな数字に変更
     
   • 25% の確率で、下位 2 オクテットをランダムな数字に変更
     
     

     ---

     注意:
     • オクテットは、IP アドレスを 8 ビット毎に区切ったセクションを表します。
       
       例えば、IP アドレスが A.B.C.D の場合、A は第 1 オクテット、B は第 2 オクテット、C は第 3 オクテット、D は第 4 オクテットです。
       
     • このワームは完全にランダムなアドレスを作成する可能性があるため、あらゆる範囲の IP がワームの影響を受ける可能性があります。
       
     • このプロセスは 128 本のスレッドで構成されており、大量の CPU タイムを要求するため、この活動が実行された場合、感染したコンピュータの処理速度が顕著に低下し、ほとんど使用不能な状態に陥ります。
       

     ---

   
   
8. ランダムに生成した IP アドレスの TCP ポート 445 への接続を試みることで、そのコンピュータがオンライン状態になっているかどうかを判断します。
   
   
9. リモートコンピュータへの接続が確立されると、そのコンピュータにシェルコードを送信することによって、TCP ポート 9996 にリモートシェルを開きます。
   
   
10. リモートコンピュータ上に作成したシェルを使用して、感染しているコンピュータのTCP ポート 5554 で動作中の FTP サーバに逆接続し、ワームのコピーを取得します。コピーのファイル名は、後半に _up.exe が付き、前半に 4つ あるいは 5つの数字が付きます（例: 74354_up.exe）。
    
    
11. Lsass.exe プロセスは、ワームが Windows の LSASS の脆弱性を攻撃した後でクラッシュします。その結果、Windows がアラートを表示し、1 分後にシステムをシャットダウンします。
    
    
12. C:\win.log ファイルを作成します。そのファイルには、ワームが最近感染を試みたコンピュータの IP アドレスと台数が記録されています。
    

• アンチウイルス・コンポーネント: W32.Sasser.Worm に対応する、Symantec Gateway Security 用 アンチウイルス・エンジンのアップデートをリリースしました。Symantec Gateway Security 5400 Series をお使いのお客様は、LiveUpdate を実行して最新のアンチウイルス・エンジンに更新してください。
  
• IDS/IPS コンポーネント: Symantec Gateway Security 5400 Series では、4 月 14 日にリリース済みの SU 8 に、Microsoft LSASS の脆弱性を悪用する攻撃を検知するシグネチャが含まれています。SGS v1.0 については、Microsoft LSASS の脆弱性の悪用攻撃を検知するシグネチャがリリースされました。Symantec Gateway Security 5400 Series をお使いのお客様は、LiveUpdate を実行して最新版に更新してください。
  
• フルアプリケーション・インスペクション・ファイアウォール・コンポーネント: シマンテックのフルアプリケーション・インスペクション・ファイアウォール技術は、標準設定では、攻撃者による TCP/445 へのアクセス、および、感染しているシステムのバックドアポート (TCP/5554, TCP/9996) へのアクセスをブロックするように設定されているため、W32.Sasser.Worm に対応済みです。 管理者の方は、セキュリティ・ポリシーをチェックし、これらのポートへ向けられたインバウンド・アクセスを許可しないように設定されているか確認してください。
  

以下のシマンテック製品をお使いの場合には、次のように設定することで、この脅威に対するリスクを最小限に抑えることができます。

Symantec Gateway Security アプライアンス上で LiveUpdate を実行することによって、ウイルス定義および IDS/IPS 定義を最新の状態に更新してください。 セキュリティ・ポリシーをチェックし、TCP ポート 445、5554、9996 へ向けられたインバウンド・トラフィックを許可しないように設定されていることを確認してください。 セキュリティ・ポリシーが、TCP/445 (Microsoft Networking) へのアクセスをユーザに要求している場合には必ず、MS LSASS 攻撃シグネチャに対して GATING (IPS) を有効にしてください。 Symantec Enterprise Firewall セキュリティ・ポリシーをチェックし、TCP ポート 445、5554、9996 へ向けられたインバウンド・トラフィックを許可しないように設定されていることを確認してください。 Symantec Firewall / VPN Appliance セキュリティ・ポリシーをチェックし、社内システムの TCP ポート 445、5554、9996 へ向けられた接続行為を許可しないように設定されていることを確認してください (標準設定では、これらのポートをブロックするように設定されています) 。 デスクトップ AV クライアント上で LiveUpdate を実行し、また、全ユーザに各自のデスクトップ PC の完全スキャンを実行させてください。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

1. コンピュータをネットワーク/インターネットに接続している場合は、接続を切ります。(必要であれば、ケーブルを外してください。)
   
2. コンピュータを再起動します。
   
3. Windows が起動し、デスクトップ画面が表示されたら、即座に、[スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。
   
4. 次のコマンドを入力し、
   
   cmd
   
   その後、Enter キーを押します。
   
   
5. 次のコマンドを入力し、
   
   shutdown -i
   
   その後、Enter キーを押します。
   
   
6. [リモート シャットダウン ダイアログ] が開いたら、[警告を表示する時間]の値を、"20" 秒間から、次の値に変更し、
   
   9999
   
   その後、[OK] をクリックします。
   
   これにより、修正プログラムのインストールやウイルス定義の更新などの操作を実行する時間的余裕が 3 時間与えられます。
   
   
7. ネットワーク/インターネットに再接続します。
   
8. インターネットに接続し、修正プログラムをダウンロードし、インストールします。その後、以下の駆除手順を実行します。
   

1. 悪意のあるプロセスを終了します (Windows NT/2000/XP の場合)。
   
2. システムの復元機能を無効にします（Windows Me の場合）。
   
3. ウイルス定義を最新版に更新します。
   
4. システム全体のスキャンを実行し、W32.Sasser.Worm として検出されたファイルをすべて削除します。
   
5. レジストリに行われた変更を元に戻します。
   

1. 「Ctrl」+「Alt」+「Delete」 を同時に押します。
   
2. 「タスク マネージャ」をクリックします。
   
3. 「プロセス」タブをクリックします。
   
4. 「イメージ名」列の見出しをクリックし、アルファベット順に並び替えます。
   
5. リストをスクロールし、次のプロセスを探します:
   
   • avserve.exe
     
   • 後半に _up.exe が付き、プロセス名の前半に 4 つあるいは 5 つの数字が付くプロセス（例: 74354_up.exe）
     
6. 上記のようなプロセスを発見した場合、それらのプロセスを選択し、 「プロセスの終了」をクリックします。
   
7. 「タスク マネージャ」を終了します。
   

• LiveUpdate を実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdate を通じて配布されているウイルス定義ファイルは、Symantec Security Response の完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義が LiveUpdate を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
  
• Intelligent Updater^TM を使用してウイルス定義をダウンロードする方法。Intelligent Updater^TM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日〜金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security Response の Web サイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義が Intelligent Updater を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。
  
  Intelligent Updater のウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。
  

1. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向け NAV 製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする手順"をご覧ください。
     
   • 企業・法人のお客様向け NAV 製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
2. システム全体のスキャンを実行します。
   
3. W32.Sasser.Worm に感染しているファイルが検出されたら、[削除] をクリックします。
   

1. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。（[ファイル名を指定して実行] ダイアログボックスが表示されます。）
   
   
2. regedit と入力します。
   
   その後、[OK] をクリックします。（レジストリ エディタが開きます。）
   
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. 画面右側で、次の値を削除します。
   
   "avserve.exe"="%Windir%\avserve.exe"
   
   
5. レジストリエディタを終了します。
   

• 2004 年 5 月 3 日:
  • 別名情報を更新しました。
    
  • シマンテック製品情報を追加しました。
    
• 2004 年 5 月 1 日:
  
  • 報告件数の増加により、危険度を 2 から 3 に引き上げました。
    
  • 駆除ツールへのリンクを追加しました。