Sasser ワームおよび亜種についての警報
公開日: 2004年5月6日 | 最終更新日: 2004年5月11日
深刻度 : 緊急 公開日 : 2004 年 5 月 6 日 更新日 : 2004 年 5 月11日
マイクロソフトは、お客様に対し、"W32.Sasser.worm"、および、その亜種に対する警報をお伝えしております。現在、オリジナルの Sasser ワーム、および B 、C 、D、E は、日本時間の 2004 年 4 月 14 日 に公開されたマイクロソフト セキュリティ情報 MS04-011 で修正されております Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用する事を確認しております。
マイクロソフトは、セキュリティ情報 MS04-011 の更新プログラムを適用することを強く推奨いたします。
影響を受ける製品 : Windows 2000、Windows XP
攻撃のインパクト : リモートでコードが実行される
技術的な詳細 :
このワームに関する詳細情報は、ご使用のウイルス対策ソフトウェア ベンダーにご連絡下さい。
株式会社シマンテック
W32.Sasser.Worm : https://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.worm.html
W32.Sasser.B.Worm : https://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser.C.Worm : https://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.c.worm.html
W32.Sasser.D : https://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.d.html
W32.Sasser.E.Worm : https://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.e.worm.html
トレンドマイクロ株式会社
WORM_SASSER.A : https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
WORM_SASSER.B : https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
WORM_SASSER.C : https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C
WORM_SASSER.D : https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
WORM_SASSER.E : https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.E
日本ネットワークアソシエイツ株式会社
W32/Sasser.worm.a : https://www.nai.com/japan/security/virS.asp?v=W32/Sasser.worm
W32/Sasser.worm.b : https://www.nai.com/japan/security/virS.asp?v=W32/Sasser.worm.b
W32/Sasser.worm.c : https://www.nai.com/japan/security/virS.asp?v=W32/Sasser.worm.c
W32/Sasser.worm.d : https://www.nai.com/japan/security/virS.asp?v=W32/Sasser.worm.d
W32/Sasser.worm.e : https://www.nai.com/japan/security/virS.asp?v=W32/Sasser.worm.e
防御方法 :
マイクロソフト セキュリティ情報 MS04-011 の更新プログラムをインストールしてください。
Windows XP のインターネット接続ファイアウォールを有効にした場合、TCP ポート 445 をブロックするため、このワームの攻撃から保護されます。また、多くのサードパーティ製ファイアウォールもこの攻撃をブロックします。
また、Internet Security and Acceleration (ISA) Server スクリプトは、Sasser ワームに関連するトラフィックを明示的に止める事ができます。これにより ISA Server 2000 または ISA Server 2004 でインターネットのトラフィックをコントロールする事が可能です。
これらのスクリプトは、https://isatools.org/ より入手可能です。
- block_sasser.vbs
回復手順 :
お客様のコンピュータがこのウイルスに感染している場合、以下の手順で駆除してください。
- マイクロソフト セキュリティ情報 MS04-011 の更新プログラムを適用します。
その後、Sasser ワーム駆除ツール、もしくはお使いのアンチ ウイルス ソフトでワームを駆除します。マイクロソフトの Sasser ワーム駆除ツールは、Sasser.A 、B、C、D、E を駆除する事が可能です。
注 : 2005 年 2 月 8 日、マイクロソフトは Sasser ワーム駆除ツールを Microsoft Windows 悪意のあるソフトウェアの削除ツールに置き換えました。 悪意のあるソフトウェアの削除ツールの関連情報を参照するには、こちらをクリックしてください。
なお、MS04-011 の更新プログラムを適用していない場合、LSASS.EXE がクラッシュして OS が 60 秒後に再起動してしまう場合があります。 Windows XP の場合、再起動のダイアログが表示されている状態で、"shutdown.exe -a" を実行することにより、再起動を中断する事が可能です。
Windows 2000 の場合には、ネットワーク ケーブルをコンピュータから抜いたあとに、以下の手順のうちどれかを実行してください。
%systemroot%\debug\dcpromo.log を読み取り専用で作成します。コマンド プロンプト上で、次のコマンドを入力してください。
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
注意 : 脆弱なコードを実行できなくすることで、この脆弱性を完全に軽減するため、これは最も有効に緩和する技術です。
すべてのネットワーク アダプターで、詳細な TCP/IP フィルタリングを有効にし、受信者側が送信を要求していないすべての入力方向の TCP パケットをブロックします。
[スタート] - [ファイル名を指定して実行] を選択し、control と入力します。
コントロール パネルから、[ネットワークとダイヤルアップ接続] をダブルクリックします。
インターネットもしくは感染が確認されているネットワークに接続しているアダプタを選択し、右クリックより [プロパティ] を選択します。
インターネットプロトコル (TCP/IP) をダブル クリックします。
インターネット プロトコル (TCP/IP) のプロパティ画面より、[詳細設定] をクリックします。
TCP/IP 詳細設定画面より、[オプション] タブを選択します。
[TCP/IP フィルタリング] をダブルクリックします。
[TCP/IP フィルタリングを有効にする (すべてのアダプタ)] にチェックを入れます。
[TCP ポート] の上に表示されている [一部許可する] を選択します。
注意 : このリストに、何もポートを追加しないでください。また、[UDP ポート] の上に表示されている [一部許可する] を選択しないでください。
[OK] ボタンを 4 回押し、現在開いている画面を閉じます。最後に、[今すぐコンピュータを再起動しますか?] と表示されますので、[はい] を選択して、コンピュータを再起動してください。(再起動することにより、選択した内容が有効になります)
注意 : これは TCP プロトコルによって脆弱性を悪用する試みを防止するために使用できる代替手段です。形式の違う UDP パケットは防がないため、脆弱性を完全にはブロックしません。
次のコマンドを入力して Server サービスを一時的に止めます。
net stop server /y
注意 : これにより、ワームが攻撃をする TCP 445 ポートと LSASS.EXE の脆弱性を切り離します。しかし、非常に消極的な方法でありお勧めしません。また、既に感染している可能性のある環境では、Server サービス停止時に LSASS.EXE がクラッシュする可能性があります。
ワームに感染しているとネットワーク速度が遅くなるため、セキュリティ更新プログラムをダウンロードするのが難しい場合があります。一時的にワームの活動を停止させるために、タスク マネージャを使用して、以下のプロセスが存在していた場合には停止してください。
xxxx_up.exe (xxxx は、4 桁以上の番号で始まる数字)
avserve.exe
avserve2.exe
skynetave.exe
lsasss.exe
注: lsass.exe と間違えないように注意してください。
hkey.exe
msiwin84.exe
wmiprvsw.exe
注: wmiprvse.exe と間違えないように注意してください。
これらのプロセスを停止する事により、セキュリティ更新プログラムおよび Sasser ワーム駆除ツールをダウンロードすることが可能です。