ウイルス情報

かかりやすさ:中

( Worm.Sasser.c )

インターネット接続で感染する[起動異常]ワーム

別名_
WORM_SASSER.D、W32/Sasser-D
更新日:
2004年5月3日(火)
■感染したらどうなる
  • 感染すると、skynetave.exeというファイル名で自分自身をWindowsフォルダにコピーしてWindowsのセキュリティホールを利用して繁殖します。パソコンを使用している際に、「LSA Shell (Export Version) 」というタイトルのメッセージが表示され、Windowsが勝手に再起動してしまう場合は要注意です。最近のメール添付ファイルから感染する[メール無断送信] ワームとは違い、ユーザーの介入が無くても感染します。
    詳しくは「詳細情報」をご覧ください。
■感染しないためには
  • 【重要】Microsoftのウェブサイトからセキュリティ修正プログラム「MS04-011(835732)」をダウンロードしてインストールしてください(他のセキュリティパッチも併せてインストールし、システムを最新の状態に保つことをお勧めします)。
    http://windowsupdate.microsoft.com/
    「現在、利用可能な重要な更新はありません」というメッセージが出たら、安全です。
    このセキュリティホールを放置しておくと、一度駆除を行っても、このウイルスに再度感染する危険があります。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 侵入方法
    外部からTCPポート445番に対してポートスキャンが行われます。
    この時、セキュリティ修正プログラム「MS04-011(835732)」が適用されていないと、セキュリティホールへの攻撃が行われます。これによりTCPポート9995番を通しての外部からの遠隔操作が可能になります。
    その後、FTPを通してウイルスのコピーをダウンロードするためのTCPポート5554番を開き、ワームがダウンロードされ実行されます。
  • メッセージの表示
    セキュリティホールへの攻撃が行われると「LSA Shell (Export Version) has encountered a problem and needs to close. We are sorry for the inconvenience.」というメッセージ画面が表示され、LSASS.EXEファイルが異常終了してWindowsを再起動する場合があります。
  • 感染後
    多数のランダムなIPアドレスに対してポートスキャンを行うようになります。
    また、ワームが自分自身のコピーをWindowsのシステムフォルダに作成します。
    C:\WINDOWS\SYSTEM\#_up.exe (Windows 98/Me)
    C:\WINNT\SYSTEM32\#_up.exe (Windows 2000)
    C:\WINDOWS\SYSTEM32\#_up.exe (Windows XP)
    #は、ランダムな数字です。
  • レジストリの値を作成
    感染すると、ワームがWindowsフォルダにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。 
    C:\WINDOWS\skynetave.exe (Windows 98/Me/XP)
    C:\WINNT\skynetave.exe (Windows 2000)

    スタートアップ時にウイルスが実行されるように、レジストリの値を作成します。 
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows 98/Me/XP)
    "skynetave.exe" = "C:\WINNT\skynetave.exe" (Windows 2000)
  • ログファイルの作成
    感染すると「win2.log」という無害なテキストファイルがC:\に作成されます。