TOPICS

平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

2004年4月30日(米国時間)に発見されました「W32.Sasser.Worm」、2004年5月1日(米国時間)に発見されました亜種の「W32.Sasser.B.Worm」に関しまして、活動が活発化しておりこの脅威の危険度が高くなっています。
このワームはマイクロソフト株式会社が2004年4月14日に公開しました「MS04-011」で修正される脆弱性を悪用して拡散します。
早急にWindows Updateを実行した上でウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。
 
※ なお、「コンピュータの動作速度低下」「コンピュータの動作不安定」などの症状がみられる場合は「W32.Sasser.Worm」「W32.Sasser.B.Worm」に感染している可能性があります。

「W32.Sasser.Worm」「W32.Sasser.B.Worm」は、Windowsの脆弱性を悪用して拡散するネットワーク感染型のワームです。マイクロソフト社セキュリティ情報「MS04-011」で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されています。「MS04-011」対策が行われていないコンピューターは、インターネットに接続しているだけで「Sasser」に感染するおそれがあります。
 
感染した場合:
* LSASS.exe の エラー ダイアログ・ボックスが表示される。
* システムのシャットダウン ダイアログ・ボックスが表示される。
* コンピュータの動作や、ネットワークの速度が異常に遅くなる。
* Windowsの終了ができない。
などの症状がみられます。

現在報告されている概要は、下記のようになります。
ウイルスの特徴
1. 種別: ワーム
2. 別名:
W32/Sasser.worm [McAfee]
3. ワームが実行されると自分自身を%Windir%\avserve.exeとしてコピーします。
(「W32.Sasser.B.Worm」の場合は%Windir%\avserve2.exeとしてコピーします。)
* %Windir%は可変です。このワームはWindowsのインストールフォルダを探し出し、その場所に自分自身をコピーします。 標準では、このフォルダはC:\Windows(Windows XP)です。
4. 起動時に必ず「W32.Sasser.Worm」「W32.Sasser.B.Worm」が実行されるよう、以下のレジストリキーが追加設定されます。
* 値 : "avserve.exe"="%Windir%\avserve.exe"
(「W32.Sasser.B.Worm」の場合は"avserve2.exe"="%Windir%\avserve2.exe")
  場所 : 上記値が次のレジストリキーに追加されます。
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run
5. 感染するとシステム上でFTPサーバーを起動し、同時にランダムに生成されたIPアドレスに接続を試みます。生成されたIPアドレスで接続が確立した場合は接続元のコンピュータで起動されているFTPサーバーに逆接続させ、自分自身の複製をダウンロードさせて拡散します。複製のファイル名は、後半に _up.exe が付き、前半に4つあるいは5つの数字が付きます(例: 74354_up.exe)。
 
IPアドレスは、次のような確率で生成されます
50%の確率で、完全にランダム
25%の確率で、IPアドレスの1番目の数字が、感染したコンピュータと同じIPアドレス
25%の確率で、IPアドレスの1番目、2番目の数字が、感染したコンピュータと同じIPアドレス
 
このワームは、ランダムに生成されたIPアドレスを走査することのできる128のスレッドを開始します。この活動は、多くのCPUパワーを要求するため、結果として感染したコンピュータの処理速度は、ほとんど使用できないくらい大幅に低下します。

対処方法
1.感染が疑われる場合
 以下のマイクロソフト(株)より提供されます、エンドユーザー向けのWebサイト関連にて手順を実行してください。

「Sasser ワームについてのお知らせ」
http://www.microsoft.com/japan/security/incident/sasser.mspx

2. 感染予防策
1) Windowsの修正プログラム(MS04-011パッチ)を適用する必要がございます。
 
早急に Windows Update を実行してください。

「Windows Update」--- Windows Update をご利用いただくことにより、簡単に適用できます。
http://windowsupdate.microsoft.com/

「MS04-011パッチの確認」
修正プログラムが正しくインストールされたか確認する方法(絵で見るセキュリティ情報)
http://www.microsoft.com/japan/security/security_bulletins/inst_history.asp

2) ウィルス対策ソフトを常駐させ、ウィルス定義ファイルのアップデートを行い、最新版にして監視します。

マイクロソフト(株) 「セキュリティ基本編(絵で見るセキュリティ情報)」   
http://www.microsoft.com/japan/security/security_bulletins/basic.asp

以下のサイトに、修正プログラム「Microsoft Windows XP ・32 bit Edition」への直接リンクがございますので、より簡単にダウンロードが行えます。

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

「絵で見るセキュリティ情報」(MS04-011)  
http://www.microsoft.com/japan/security/security_bulletins/ms04-011e.asp

3. 日常的な予防策
Norton AntiVirus等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。

参考情報

マイクロソフト株式会社
「絵でみるセキュリティ情報 重要な更新情報一覧」
http://www.microsoft.com/japan/security/security_bulletins/

株式会社 シマンテック


InterLink(XP) Home ページ
緊急:Microsoft Windows のセキュリティ上の脆弱性に関する情報」  
http://www.victor.co.jp/interlink/xp/topics/index_windowsupdate.html

(c)Copyright 2003 VICTOR COMPANY OF JAPAN, LIMITED All Rights Reserved.