McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・W32/Sasser.worm.cはavserve2.exeとして自身をWindowsディレクトリにコピーし、スタートアップ時に自身がロードされるようにレジストリ実行キーを作成します。 ●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve2.exe" = C:\WINDOWS\avserve2.exe ・W32/Sasser.worm.cはランダムなIPアドレスをスキャンし、1068以降のTCPポートの受信待機をします。またTCPポート5554上でFTPサーバを稼働させ、TCPポート9996にリモートシェルを作成します。 ・win2.logという名前のファイルがCドライブのルートディレクトリに作成されます。このファイルにはIPアドレスが含まれています。 ・このウイルスのコピーが#_up.exeとしてWindows Systemディレクトリに作成されます。 例： c:\WINDOWS\system32\11583_up.exe c:\WINDOWS\system32\16913_up.exe c:\WINDOWS\system32\29739_up.exe ・W32/Sasser.worm.cの副作用として、LSASS.EXEファイルをクラッシュさせます。クラッシュが起きると、以下のウィンドウが表示され、システムが再起動する場合があります。

感染方法

TOPへ戻る

・W32/Sasser.worm.cはMicrosoft Windowsのセキュリティホールを利用することで繁殖し、ユーザが何もしなくても、マシンからマシンへとウイルスを広げていきます。 ・W32/Sasser.worm.cはIPアドレスをランダムにスキャンし、利用可能なシステムを探します。該当するシステムを発見すると、LSASS.EXE内のバッファをオーバーフローさせることでセキュリティホールのあるシステムを利用します。W32/Sasser.worm.cはTCPポート9996上にリモートシェルを作成します。次にcmd.ftpという名前でFTPスクリプトをリモートホストに作成し実行します。このFTPスクリプトは、標的となるマシンに、ウイルスに感染したホストからW32/Sasser.worm.cを上述の#_up.exeファイルと共にダウンロードして実行するように指示します。このウイルスに感染したホストはTCPポート5554上のFTPトラフィックを受け入れます。 ・W32/Sasser.worm.cは複数のスレッドを発生させます。スレッドにはローカルのクラスAサブネットをスキャンするもの、クラスBサブネットをスキャンするもの、完全にランダムなサブネットをスキャンするものがあります。 このワームがローカルサブネットに存在する場合、サブネットが10.0.0.0や192.168.0.0のようなパブリックで無い場合でもスキャンを行います。攻撃の対象となるポートはTCP445です。

駆除方法

TOPへ戻る

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足 ・感染したシステムは、W32/Sasser.worm.dによるセキュリティホールを利用した攻撃を防ぐためにマイクロソフトアップデートをインストールする必要があります。 http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp ■Stinger 駆除ツールStingerがW32/Sasser.worm.d に対応しています。ダウンロードはこちら ■手動による駆除方法 システムをセーフモードで再起動します。 （電源を入れて、Windows開始の文章が画面に現れたらすぐにF８キーを押し、そこでセーフモードを選びます。） Windowsのディレクトリ（通常はc:\windows か c:\winntです。）からAVSERVE2.EXEファイルを削除します。 レジストリキーを編集します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run から 「avserve2」の値を削除します。 システムを再起動します。