HOME情報セキュリティ情報セキュリティ対策ウイルス対策「W32/Sasser」ワームに関する情報

本文を印刷する

情報セキュリティ

「W32/Sasser」ワームに関する情報

2004年 5月 5日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

該当の OS が動作しているコンピュータを利用している不特定のインターネットユーザが、このワーム感染の被害に遭う可能性があります。

このワームが感染する可能性がある対象 OS

  • Windows 2000
  • Windows XP

感染してしまったコンピュータについては、至急、ワームを駆除するとともに、修正プログラムを適用することによる再感染予防を徹底して下さい。

現在、感染していなくても、該当する OS が動作しているコンピュータについては、インターネットに接続する際には、MS04-011 該当の修正プログラムを適用することによって感染予防を行って下さい。

該当する OS が動作している 1台しかコンピュータがない場合、対策においてもインターネット接続することが要求されるため、対策手順に注意を要します。なぜならば、対策手順を行う際に、このワームに感染してしまう可能性があるからです。従って、Windows XP については、インターネット接続ファイアウォール機能を有効にして対策を実施してください。 Windows XP における一連の手順については、下記文書をご覧下さい。

W32/Sasser ワームに感染した場合の復旧方法について (Windows XP用、Ver.1.1) pdf(334 KB)

マイクロソフト社のサイトからも、情報提供されていますので、参照してください。

マイクロソフト社からの情報:

企業等のサイトにおいて、このワームの感染対象に該当しないコンピュータが別にある場合には、それらのコンピュータ(既に MS04-011 のセキュリティ脆弱性について修正プログラムを適用したコンピュータと、今回のワームが感染しない Windows Me 等の OS で動作するコンピュータ)を使って、修復ツールと修正プログラムをダウンロードして利用することができるでしょう。

概要

このワームは、TCP 445 番ポートを通じて、下記のセキュリティ脆弱性を攻略し、avserve.exe という名のファイルをダウンロードし、実行を試みます。

亜種によっては、avserve2.exe や skynetave.exe という名のファイルの場合もあります。

「Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)」
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp

このワームが実行されると、下記のレジストリに avserve.exe などを登録し、パソコン起動時にワームが実行されるように改変します。また、任意に感染対象のコンピュータを検索し、感染拡大を試みます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

更に、攻撃対象のコンピュータをリモートコントロール可能な状態にし、自身のコピーとして、4~5桁の数字に末尾が _up.exe のファイル(例: 54321_up.exe)が作成されます。
また、亜種によっては、標的とするセキュリティホールをもつ PC を発見するための ICMP エコーパケットを送信する可能性もあります。

感染してしまったコンピュータからワームを駆除・修復する方法

感染してしまった場合は、Windows ディレクトリに作成されたプログラムファイル(avserve.exeなど)の削除とレジストリの修正が必要となります。 修復方法は、下記のマイクロソフト社の情報、および下記ワクチンソフトウェアベンダーのサイトに掲載されています。Windows XP については、修復ツールや修正プログラムをダウンロードする際にインターネット接続ファイアウォール機能を有効にしてから実施してください。

修復ツールによる方法:

無償の修復用ツールがマイクロソフト社及びワクチンベンダーから配布されているので、そちらを使う方法が有効です。各ベンダーが記述している 「使用上の注意」をよく読み、自己の責任において使用してください

既に MS04-011 のセキュリティ脆弱性について修正プログラムを適用したコンピュータと、今回のワームが感染しない Windows Me 等の OS で動作するコンピュータを、これらの修復ツールをダウンロードするために使って、フロッピーディスクや USB メモリー等のメディアに保存して、感染してしまったコンピュータに運ぶことができます。

修復ツール提供サイト

手動による方法:

手動による修復方法は、下記のマイクロソフト社の情報、および下記ワクチンソフトウェアベンダーのサイトに掲載されています。

マイクロソフト社からの情報:

手動による修復は、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2004年 5月 5日 掲載。
2004年 5月 6日 Windows XP用の復旧方法のPDFファイルを追記。
2004年 5月 7日 Windows XP用の復旧方法の手順を一部変更。