sasser【スタコラサッサ】sasser Part2
警察庁の分析はSasser.Dについてのものだが、A〜Cにも
基本的に当てはまると思われる。
http://www.cyberpolice.go.jp/important/2004/20040507_195408.html
(要約)
■Sasser.Dの日本語環境における感染状況
2000 Pro/Server→SPなし〜SP4 →感染しないがリブート(※)
XPhome/Pro→SPなし〜SP1→感染後リブート
2003 Server→感染しない
■感染動作
・準備動作 FTPサーバを生成し、TCP port 5554をオープンして待機
・攻撃動作 目標IPをランダムに生成→目標へICPM Echo Request(ping)→
応答があった目標のTCP port 445に接続→TCP port 9995へexploit
コード送信→(※日本語Windows2000の場合、この段階でLSASSがクラッシュ、
マシンはリブートする。感染動作は中断するので感染はしない)→
準備動作で用意したFTPサーバからport5554を通じてワーム本体を転送
※注 Windows2000の場合、ワームのコードのバグのため、攻撃対象の
LSASSをクラッシュさせてしまう。そのためWin2000システムがOSのシャット
ダウンを行う。しかし感染はしていないのでウィルススキャンしても反応はない。
しかしインターネットに接続して再び攻撃を受ければ、またシャットダウンして
しまうことになる。
基本的に当てはまると思われる。
http://www.cyberpolice.go.jp/important/2004/20040507_195408.html
(要約)
■Sasser.Dの日本語環境における感染状況
2000 Pro/Server→SPなし〜SP4 →感染しないがリブート(※)
XPhome/Pro→SPなし〜SP1→感染後リブート
2003 Server→感染しない
■感染動作
・準備動作 FTPサーバを生成し、TCP port 5554をオープンして待機
・攻撃動作 目標IPをランダムに生成→目標へICPM Echo Request(ping)→
応答があった目標のTCP port 445に接続→TCP port 9995へexploit
コード送信→(※日本語Windows2000の場合、この段階でLSASSがクラッシュ、
マシンはリブートする。感染動作は中断するので感染はしない)→
準備動作で用意したFTPサーバからport5554を通じてワーム本体を転送
※注 Windows2000の場合、ワームのコードのバグのため、攻撃対象の
LSASSをクラッシュさせてしまう。そのためWin2000システムがOSのシャット
ダウンを行う。しかし感染はしていないのでウィルススキャンしても反応はない。
しかしインターネットに接続して再び攻撃を受ければ、またシャットダウンして
しまうことになる。
|
|
|
補足
★FWでEcho Repyは必ず無効にせよ★
ICMP Echo Reply (pingに対する応答)をFWでステルス(応答を
返さない)に設定するだけで感染は防止できるうえに、ウィルス側
では応答がタイムアウトするまで待つ必要があるので攻撃の速度
を低下させ、無用なpingパケットの輻輳を抑止する効果もある。
FW入れてるマシンではEcho Repyをステルス(無効)に設定
することを勧めます。
★FWでEcho Repyは必ず無効にせよ★
ICMP Echo Reply (pingに対する応答)をFWでステルス(応答を
返さない)に設定するだけで感染は防止できるうえに、ウィルス側
では応答がタイムアウトするまで待つ必要があるので攻撃の速度
を低下させ、無用なpingパケットの輻輳を抑止する効果もある。
FW入れてるマシンではEcho Repyをステルス(無効)に設定
することを勧めます。