ウイルス名 |
Win32.HLLW.Jobaka(別名Sasser.B) |
発見日 |
2004/05/01 |
| 対応日 |
2004/05/01 14:42:04 |
| 種 類 |
ワーム |
| 別 名 |
W32.Sasser.B.Worm, WORM_SASSER.B, W32/Sasser.worm.b |
| 対 象 |
Windows 98/ME/NT/2000/XP |
| 危険度 |
最高 |
| 感染経路 |
ネットワーク |
| 概 要 |
Win32.HLLW.Jobaka(別名Sasser.B)はTCP445ポートでLSASSの脆弱性を利用して感染します。
Microsoft Windows のセキュリティ修正プログラム(MS04-011)が適用されていないネットワーク上のターゲットコンピュータを検索し、該当コンピュータへの攻撃を行います。成功しますと攻撃を実行したコンピュータのTCPポート9996上でリモートシェルを作成し、TCP5554ポートをオープンします。
当ワームが利用するセキュリティホールの情報に関しましては以下のマイクロソフト社の説明をご参照下さい:
:[MS04-011] Microsoft Windows のセキュリティ修正プログラム
|
| 詳 細 |
当ワームのサイズは15,872バイトです。
当ワームが実行されると、Windowsフォルダに次のようなファイル名でワームのコピーを作成します。
avserve2.exe
* Windowsフォルダは標準では、C:\Windows (Windows 95/98/Me/XP)またはC:\Winnt (Windows NT/2000)です。
当ワームは重複して実行されることを防ぐため次のようなミューテックスを作成します。
JumpallsNlsTillt
Jobaka3
Windowsの起動時にワームが自動的に実行されるように、次のようにレジストリを書き換えます。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
avserve2.exe = Windowsフォルダ\avserve2.exe
* Windowsフォルダは標準では、C:\Windows (Windows 95/98/Me/XP)またはC:\Winnt (Windows NT/2000)です。
当ワームは次のようなMicrosoft Windowsの脆弱性を利用して感染拡大をします。
当ワームが利用するセキュリティホールの情報に関しましては以下のマイクロソフト社の説明をご参照下さい:
:[MS04-011] Microsoft Windows のセキュリティ修正プログラム
・攻撃を受けたコンピュータはTCP5554ポートを開いてFTPサーバのサービスを開始します。このFTPサービスを利用してワームのコピーをWindowsフォルダに作成し、ワームが実行されます。
・エラーメッセージが表示されて60秒後に、コンピュータが再起動します。
|
| 駆除方法 |
ウイルスチェイサーでの検出及び駆除可能です。
ウイルスチェイサーのアップデートを実行し、ウイルスチェイサーを最新の状態へアップデートして下さい。
メモリ&ブートセクタ検査を実行しワームが検出されましたら駆除して下さい。
すべてのファイルに対しウイルス検査を実行し、ワームとして検出されたファイルをすべて削除して下さい。
ワームによって書き換えられたレジストリを修正して下さい。
レジストリエディタは、画面左下にある「スタート」ボタンをクリックし、「ファイル名を指定して実行」を選択し
表示された画面に"regedit"と入力後、「OK」をクリックすると起動します。 |
| 参 照 |
当ワームはTCP445ポートでLSASSの脆弱性を利用します。
当ワームが利用するセキュリティホールの情報に関しましては以下のマイクロソフト社の説明をご参照下さい:
:[MS04-011] Microsoft Windows のセキュリティ修正プログラム
|
