sasser【スタコラサッサ】sasser Part2
■悪質ウィルスSASSER大暴れ中
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル
現在確認されている亜種はA〜Dの4種類ですが、動作、対処法はどれもほとんど同じ。
前スレ sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/
■症状
・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。
LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。
・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ
読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。
■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
やルータの設定で、
UDP135、137、138、139及び445、
TCP135、138、139、445及び593
のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
を許可しない。
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル
現在確認されている亜種はA〜Dの4種類ですが、動作、対処法はどれもほとんど同じ。
前スレ sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/
■症状
・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。
LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。
・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ
読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。
■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
やルータの設定で、
UDP135、137、138、139及び445、
TCP135、138、139、445及び593
のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
を許可しない。
|
|
|
8 :名無しさん@お腹いっぱい。:04/05/06 19:42
《関連リンク》
Sasser ワームについてのお知らせ(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
W32.Sasser.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
W32.Sasser.B.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser 駆除ツール(Symantec) (亜種A-Dまで対応)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
WORM_SASSER.A(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
WORM_SASSER.B(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
その他亜種はデータベースのトップからSasserで検索してください)
・トレンド(手動削除手順はトレンドが詳しいです)
http://www.trendmicro.co.jp/vinfo/
・シマンテック
http://www.symantec.com/region/jp/sarcj/vinfodb.html
Sasser ワームについてのお知らせ(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
W32.Sasser.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
W32.Sasser.B.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser 駆除ツール(Symantec) (亜種A-Dまで対応)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
WORM_SASSER.A(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
WORM_SASSER.B(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
その他亜種はデータベースのトップからSasserで検索してください)
・トレンド(手動削除手順はトレンドが詳しいです)
http://www.trendmicro.co.jp/vinfo/
・シマンテック
http://www.symantec.com/region/jp/sarcj/vinfodb.html
9 :名無しさん@お腹いっぱい。:04/05/06 19:42
《SASSER動作概要》
■SASSERファミリー(A〜D)の感染動作概要
・感染経路のport番号
感染マシン→ターゲットマシンのTCPポート445をスキャン
感染マシン←ターゲットマシンの脆弱性の情報を確認
感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送
・レジストリの改変
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値:
avserve.exe = %Windows%\avserve.exe
avserve2.exe = %Windows%\avserve2.exe
skynetave.exe = "%Windows%\skynetave.exe"
・その他ウィルスが作成するファイル名
<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")
システムドライブのルート(C:\)にWIN2.LOG" というログファイル
■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
やルータの設定で、
UDP135、137、138、139及び445、
TCP135、138、139、445及び593
のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
を許可しない。
■SASSERファミリー(A〜D)の感染動作概要
・感染経路のport番号
感染マシン→ターゲットマシンのTCPポート445をスキャン
感染マシン←ターゲットマシンの脆弱性の情報を確認
感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送
・レジストリの改変
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値:
avserve.exe = %Windows%\avserve.exe
avserve2.exe = %Windows%\avserve2.exe
skynetave.exe = "%Windows%\skynetave.exe"
・その他ウィルスが作成するファイル名
<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")
システムドライブのルート(C:\)にWIN2.LOG" というログファイル
■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
やルータの設定で、
UDP135、137、138、139及び445、
TCP135、138、139、445及び593
のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
を許可しない。
10 :名無しさん@お腹いっぱい。:04/05/06 19:43
■sasser を手動で“駆除”および“駆除”されたことを確認する方法
0.ネットワークから物理的に離脱する(ケーブルを抜く、モデムの電源OFF)
1.タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
2.レジストリで、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
で "avserve*.exe" = "C:\WINDOWS\avserve*.exe" (*:なし、または数字)
"skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows2000:WINNT)
の削除、または無いことを確認
3.%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
(%SystemRoot%:Windows, または WINNT)(*:なし、または数字)
4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
5.システムドライブ(ふつう C ドライブ)のルート(直下)の "win*.log" の削除、
または無いことを確認 (このログは sasser の他への攻撃履歴が記録されている)
6.Windows を再起動
■ Windowsアップデート後、Microsoft純正Sasserツールで駆除
http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
使い方 http://support.microsoft.com/?kbid=841720
・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
実行→regedit→以下の項目を削除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
さらにウィルスとして発見されたファイルがあれば削除
0.ネットワークから物理的に離脱する(ケーブルを抜く、モデムの電源OFF)
1.タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
2.レジストリで、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
で "avserve*.exe" = "C:\WINDOWS\avserve*.exe" (*:なし、または数字)
"skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows2000:WINNT)
の削除、または無いことを確認
3.%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
(%SystemRoot%:Windows, または WINNT)(*:なし、または数字)
4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
5.システムドライブ(ふつう C ドライブ)のルート(直下)の "win*.log" の削除、
または無いことを確認 (このログは sasser の他への攻撃履歴が記録されている)
6.Windows を再起動
■ Windowsアップデート後、Microsoft純正Sasserツールで駆除
http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
使い方 http://support.microsoft.com/?kbid=841720
・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
実行→regedit→以下の項目を削除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
さらにウィルスとして発見されたファイルがあれば削除
11 :名無しさん@お腹いっぱい。:04/05/06 19:44
■マイクロソフトのSasser感染・駆除チェックサイト
http://www.microsoft.com/security/incident/sasser.asp
画面をスクロールして↓下記のボタンを押す。
------------------------
Check My PC for Infection
------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
------------------------
Your PC Is Not Infected
------------------------ と出ればOK。
Windowsのアップデート「MS04-011」が未適用のPCだと
To use this tool, you must be running Windows XP or Windows 2000,
and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査
アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer.
と表示される。「駆除に成功した」のでこれでOK
http://www.microsoft.com/security/incident/sasser.asp
画面をスクロールして↓下記のボタンを押す。
------------------------
Check My PC for Infection
------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
------------------------
Your PC Is Not Infected
------------------------ と出ればOK。
Windowsのアップデート「MS04-011」が未適用のPCだと
To use this tool, you must be running Windows XP or Windows 2000,
and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査
アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer.
と表示される。「駆除に成功した」のでこれでOK
12 :名無しさん@お腹いっぱい。:04/05/06 19:50
○感染の危険のあるOS
Windows2000、XPはインターネットに接続するだけで、感染する可能性が
あります。
Windows 95、98、Me、NTに関しても、フロッピーやCD-ROMなど、外部メディア
により感染する可能性があります。
Windows2000、XPはインターネットに接続するだけで、感染する可能性が
あります。
Windows 95、98、Me、NTに関しても、フロッピーやCD-ROMなど、外部メディア
により感染する可能性があります。