|
詳 細:
ワームは実行されるとWindowsフォルダに自身のコピーを作成します。コピーのファイル名は "AVSERVE.EXE"です。そして、Windowsのレジストリに以下の値を追加します:
場所: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 : avserve.exe = %Windows%\avserve.exe
これによってWindows起動時にワームが自動実行されるようにシステム改変されます。
・ワーム活動:
ワームはWindows 2000/XP の「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれるセキュリティホールを利用してワーム活動を行います。外部の攻撃者はこのセキュリティホールを利用し、リモートで任意のプログラムコードを実行したりフルアクセスの権限を得ることができます。セキュリティ対策の面からも以下のマイクロソフト社の説明を参照し、セキュリティホールを修正してください:
このセキュリティホールを利用できるのはWindows 2000/XP のみであるため、それ以外のWindows 95/98/ME/NT/Server2003 などのシステムに侵入することはできません。
ワームはまず、ランダムなIPアドレスに対しセキュリティホールの存在をスキャンします。セキュリティホールの存在するコンピュータが発見された場合にはセキュリティホールを攻撃するための特殊なパケットを送信します。このセキュリティホールへの攻撃はTCPポート445番に対して行なわれます。
セキュリティホールが存在するコンピュータがこのパケットを受信するとバッファオーバーフローを起こしワームの送信したコマンドが実行されます。また、場合によってはエラーメッセージを表示してWindowsがリブートすることもあります。
攻撃を受けたコンピュータ上では結果としてリモートシェルが起動し、TCPポート9996を通じてのリモートコントロールが可能となります。ただし、日本語版 Windows 2000 ではこのリモートシェルの起動が行なえず、結果的にワーム活動自体が失敗する場合があります。
その後、リモートコントロールによって "CMD.FTP" というスクリプトファイルが作成され、実行されます。このスクリプトは、ワームの攻撃元コンピュータのTCPポート5554にアクセスします。そしてFTPを利用してワームのコピーをWindowsのシステムフォルダにダウンロード後、実行します。コピーのファイル名は "<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe") です。トレンドマイクロ製品ではこのスクリプトファイル "CMD.FTP" を「BAT_SASSER.A」として検出します。
このコピーの転送後、ワームは作成した "cmd.ftp" ファイルを削除します。また、システムドライブのルートフォルダに "WIN.LOG" というログファイルが作成されます。このログファイルにはワームがこれまでに侵入したコンピュータの数と最後に侵入したコンピュータのIPアドレスが記録されます。
上記の活動のためにワームは128のスレッドを作成します。各スレッドは25ms間隔でランダムなIPアドレスに攻撃を行います。したがって、このワームによって1秒間に行なわれる最大攻撃数は計算上、
128 (スレッド) * (1/25ms) = 128 * 40 = 5,120 の攻撃(1秒間)
となります。
ワームは感染システムの持つIPアドレスがローカルネットワークなのか、外部ネットワークなのかを判断するのに以下のアドレスを確認します。
- 127.0.0.1
- 10.x.x.x
- 172.[16-31].x.x
- 192.168.x.x
- 169.254.x.x
これによってワームはFTPの処理ルーチンを決定します。
・その他の活動:
ワームは重複実行を防ぐため、以下のMUTEXを検索します:
上記MUTEXが発見された場合はすでに自身が活動しているものとみなし、あとから起動されたワームは活動を終了します。
このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況
ウイルスデータベース検索
このウイルス情報に関して. こちらのアンケートにお答えください。
|
