ウイルス情報

かかりやすさ:中

( W32.Sasser.IWorm )

インターネット接続で感染する[起動異常]ワーム

別名_
Sasser.a、Sasser.b
更新日:
2004年5月1日(土)
■感染したらどうなる
  • 感染すると、avserve.exeというファイル名で自分自身をWindowsフォルダにコピーしてWindowsのセキュリティホールを利用して繁殖します。最近のメール添付ファイルから感染する[メール無断送信] ワームとは違い、ユーザーの介入が無くても感染します。特に自覚症状はありませんが、「LSA Shell (Export Version) 」というタイトルのメッセージが表示された場合は要注意です。
    詳しくは「詳細情報」をご覧ください。
■感染しないためには
  • 【重要】Microsoftのウェブサイトからセキュリティ修正プログラム「MS04-011(835732)」をダウンロードしてインストールしてください(他のセキュリティパッチも併せてインストールし、システムを最新の状態に保つことをお勧めします)。
    http://windowsupdate.microsoft.com/
    「現在、利用可能な重要な更新はありません」というメッセージが出たら、安全です。
    このセキュリティホールを放置しておくと、一度駆除を行っても、このウイルスに再度感染する危険があります。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • レジストリの値を作成
    感染すると、ワームがWindowsフォルダにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。 
    C:\WINDOWS\SYSTEM\#_up.exe (Windows 98/Me)
    C:\WINNT\SYSTEM32\#_up.exe (Windows 2000)
    C:\WINDOWS\SYSTEM32\#_up.exe (Windows XP)
    #は、ランダムな数字です。

    スタートアップ時にウイルスが実行されるように、レジストリの値を作成します。 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe"
    = C:\WINDOWS\avserve.exe
     
  • 不正アクセスの許可  
    このウイルスに感染すると、TCPポート9996番と445番を開いて、Windowsのセキュリティホールを利用して繁殖します。
    FTPを通してウイルスのコピーをダウンロードするためのTCPポート5554番を開き、ウイルスがダウンロードされ実行されます。
  • メッセージの表示
    感染すると「LSA Shell (Export Version) has encountered a problem and needs to close. We are sorry for the inconvenience.」というメッセージ画面が表示され、LSASS.EXEファイルを破壊してシステムを再起動します。