警察庁の分析はSasser.Dについてのものだが、A〜Cにも
基本的に当てはまると思われる。
http://www.cyberpolice.go.jp/important/2004/20040507_195408.html (要約)
■Sasser.Dの日本語環境における感染状況
2000 Pro/Server→SPなし〜SP4 →感染しないがリブート(※)
XPhome/Pro→SPなし〜SP1→感染後リブート
2003 Server→感染しない
■感染動作
・準備動作 FTPサーバを生成し、TCP port 5554をオープンして待機
・攻撃動作 目標IPをランダムに生成→目標へICPM Echo Request(ping)→
応答があった目標のTCP port 445に接続→TCP port 9995へexploit
コード送信→(※日本語Windows2000の場合、この段階でLSASSがクラッシュ、
マシンはリブートする。感染動作は中断するので感染はしない)→
準備動作で用意したFTPサーバからport5554を通じてワーム本体を転送
※注 Windows2000の場合、ワームのコードのバグのため、攻撃対象の
LSASSをクラッシュさせてしまう。そのためWin2000システムがOSのシャット
ダウンを行う。しかし感染はしていないのでウィルススキャンしても反応はない。
しかしインターネットに接続して再び攻撃を受ければ、またシャットダウンして
しまうことになる。