現在地 HOME > 掲示板
> IT5 > 538.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT5 > 538.html
★阿修羅♪
|
|
| Tweet |
(回答先: “接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生 (impress Watch) 投稿者 シジミ 日時 2004 年 5 月 03 日 19:38:15)
Sasserの欠陥を突く新たなワーム浮上【IT_Media記事】
http://www.itmedia.co.jp/news/articles/0405/14/news015.html
2004/05/14 09:07 更新
Sasserの脆弱性を突くワーム「Dabber」が発見された。別のワームが残したバックドアを利用するワームは以前にもあったが、拡散のために別のワームの脆弱性を利用するワームを目にしたのこれが初めてだとしている。
マネージドセキュリティサービス提供企業の米LURHQは5月13日、SasserワームのFTPサーバコンポーネントが持つ脆弱性を突いた新たなワームを発見したと報告した。
LURHQが「Dabber」という仮称で呼ぶこのワームの影響を受けるのは、Sasserに感染したユーザーのみ。LURHQでは、別のワームが残したバックドアを利用するワームは以前にもあったが、拡散のために別のワームの脆弱性を利用するワームを目にしたのこれが初めてだとしている。
このワームには、Romanian Security Researchの“mandragore”という人物が最近リリースしたSasser-FTPエクスプロイトコードが含まれるという。ポート5554でSasser感染ホストをスキャンし、発見するとエクスプロイトを使って一時的にポート8967にWindowsコマンドシェルをバインドする。その後、同ポート経由で対象ホストに接続して特定のコマンドを実行。このワームには、ターゲットシステムにワーム実行ファイルを送り込むためのTFTPサーバが組み込まれており、コマンドが実行される「package.exe」というファイルが対象のマシンにコピーされ実行される。
LURHQによると削除方法は、Windowsのタスクマネージャでpackage.exeのプロセスを終了させ、「sassfix」レジストリキーを削除、Windowsシステムディレクトリと全スタートアップフォルダからpackage.exeを削除する。
関連記事
Sasserワームにまた新たな亜種出現
Sasserワームを作った犯人はほかにもいる?
Sasserに便乗するNetsky亜種、作者のつながりも?
Sasserの国内被害、連休明け急拡大
ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を
関連リンク
LURHQのDabberワーム分析
[ITmedia]
題名には必ず「阿修羅さんへ」と記述してください。