現在地 HOME > 掲示板 > IT5 > 472.html ★阿修羅♪ |
|
Tweet |
(回答先: “接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生 (impress Watch) 投稿者 シジミ 日時 2004 年 5 月 03 日 19:38:15)
◎必ず【セキュリティーホールmemo】の元文たどってから参照してください。要所要所にリンクが張ってあります。
Sasserワーム関連【セキュリティーホールmemo】
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/05.html#20040502_sasser
Sasserワームの被害が急速拡大中 (slashdot.jp)
マイクロソフト社製OSの脆弱性を攻撃するワームへの緊急の対応 及び大型連休明けの情報セキュリティ対策の徹底要請について (経済産業省)
新種ワーム「W32/Sasser」に関する情報 (IPA ISEC)
#541679 (slashdot.jp) にも書きましたが、いまのところ、プライベートアドレスは攻撃対象から外されています。ただし、感染 PC によるプライベート → グローバルへの攻撃は行われるでしょうし、Sasser.D だと 1024 threads で ping してくれますので、これだけで十分頭痛のタネになりかねません。 このあたりを見る限りでは、snort だと sid 469 がひっかかる?
あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) の Sasser 検出機能が Sasser.C/D にも対応されました。Sasser.A〜D に対応しています。 ただし、Internet Explorer でアクセスしないと動きません。
Sasser インターネット送信型ワーム感染の最新情報 (ソフォス)、 Tuesday, May 4, 2004: The Netsky-Sasser Connection (f-secure.com)。 なんか頭痛いなあ。
■ Sasser ワームについてのお知らせ
http://www.microsoft.com/japan/security/incident/sasser.mspx
(Microsoft, 2004.05.01)
このワームは 2004 年 4 月 14 日 (日本時間) のマイクロソフト セキュリティ情報 MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。
MS04-011 LSASS 穴 attack worm キター。Gaobot じゃないよ。
W32/Sasser.worm (ネットワークアソシエイツ)
W32.Sasser.Worm (シマンテック)
このワームの MD5 ハッシュ値は、0xA73C16CCD0B9C4F20BC7842EDD90FC20 です。
WORM_SASSER.A (トレンドマイクロ)
W32/Sasser-A (Sophos)
Sasser (エフ・セキュア)
これが原因なのかどうか知りませんが、5/2 01:00 AM 現在 Symantec ThreatCon は Level 3 になってますね。 ……あ、level 2 に戻った (5/2 02:10)。
関連:
Handler's Diary April 30th 2004 (SANS ISC)
2004.05.02 追記:
Sasser Worm Technical Analysis (eEye)
The public exploit used by the "Sasser" worm was released Thursday by "houseofdabus", and is confirmed to work against Windows 2000 Professional, Windows 2000 Server, and Windows XP Professional, in English and Russian languages. We have seen the exploit fail against Japanese-language Windows 2000, and it is possible that other languages of Windows 2000 are not susceptible to the attack as well, although an attempted attack against a vulnerable machine will cause LSASS to crash and the machine to reboot, even if it does not succeed. Because of shortcomings in the worm's use of the exploit, it should only be able to infect Windows XP and certain versions of Windows 2000 Professional.
正式に対応している (!) のは英語版およびロシア語版 Windows 2000 / XP の模様。日本語版および他の言語版の Windows 2000 では LSASS の crash による reboot が発生する模様。
the exploit has been observed to succeed on some languages of Windows XP where it will fail on Windows 2000 (for instance, Windows XP Professional (Japanese) is susceptible, but Windows 2000 Professional (Japanese) is not); only English and Russian were confirmed by the exploit's author
しかし、日本語版 Windows XP には効いてしまう模様。
Handler's Diary May 1st 2004 (SANS ISC)
Sasser が作成する 9996/tcp remote shell へのアクセスを検出する snort signature が掲載されています。
Microsoft LSASS Sasser ワームの拡散 (ISSKK)
ホームユーザー向け - Sasser ウイルスに関する情報 Windows XP 編 (Microsoft)
ホームユーザー向け - Sasser ウイルスに関する情報 Windows 2000 編 (Microsoft)。 ipsecpol コマンドについては 813878 - IPSec を使用して特定のネットワーク プロトコルとポートをブロックする方法 (Microsoft) も参照。
News from the Lab (F-Secure)
Sasser (secunia)
さっそく亜種登場:
W32/Sasser.worm.b (ネットワークアソシエイツ)
W32.Sasser.B.Worm (シマンテック)
このワームの MD5 ハッシュ値は、0x1A2C0E6130850F8FD9B9B5309413CD00 です。
WORM_SASSER.B (トレンドマイクロ)
W32/Sasser-B (Sophos)
Sasser.B (F-Secure)
トレンドマイクロは WORM_SASSER.B をレッドアラート扱いにしていますね。 (5/3 19:00)
2004.05.03 追記:
またまた亜種 (Sasser.c) 登場:
W32/Sasser.worm.c (NAI)
W32.Sasser.C.Worm (Symantec)
The MD5 hash value for this worm is 0x831f4ee0a7d2d1113c80033f8d6ac372.
WORM_SASSER.C (トレンドマイクロ)
Sasser.C (F-Secure)
関連:
Handler's Diary May 2nd 2004 (SANS ISC)
Joe reports that SasserC spawns 1024 threads to attack other systems
注: Sasser.A/B は 128 threads です。
あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) に、Sasser.A/B の検出機能が追加されています。ただし、Internet Explorer でアクセスしないと動きません。
……と書いている間に Sasser.D が登場したようで:
W32/Sasser.worm.d (NAI)
W32.Sasser.D (Symantec)
The MD5 hash value of this worm is 0X03F912899B3D90F9915D72FC9ABB91BE.
WORM_SASSER.D (トレンドマイクロ)
W32/Sasser-D (Sophos)
2004.05.04 追記:
Windows LSASS の脆弱性を使って伝播するワーム W32/Sasser (JPCERT/CC)
ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を (ITmedia)
“接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生 (Internet Watch)
2004.05.05 追記:
Sasserワームの被害が急速拡大中 (slashdot.jp)
マイクロソフト社製OSの脆弱性を攻撃するワームへの緊急の対応 及び大型連休明けの情報セキュリティ対策の徹底要請について (経済産業省)
新種ワーム「W32/Sasser」に関する情報 (IPA ISEC)
#541679 (slashdot.jp) にも書きましたが、いまのところ、プライベートアドレスは攻撃対象から外されています。ただし、感染 PC によるプライベート → グローバルへの攻撃は行われるでしょうし、Sasser.D だと 1024 threads で ping してくれますので、これだけで十分頭痛のタネになりかねません。 このあたりを見る限りでは、snort だと sid 469 がひっかかる?
あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) の Sasser 検出機能が Sasser.C/D にも対応されました。Sasser.A〜D に対応しています。 ただし、Internet Explorer でアクセスしないと動きません。
Sasser インターネット送信型ワーム感染の最新情報 (ソフォス)、 Tuesday, May 4, 2004: The Netsky-Sasser Connection (f-secure.com)。 なんか頭痛いなあ。