株式会社シマンテックは5月6日、4月30日(米国時間)に発見されたワーム「W32.Sasser.Worm」(以下、Sasser)とその亜種に関する緊急対策セミナーを行い、Symantec Security ResponseのDevelopment Manager、星澤 裕二氏が現状を説明した。
■ Sasserは、LSASSの脆弱性を利用したワーム
|
Sasser感染までの流れ。2ステップ目で利用している「houseofdabus」攻撃コードは、インターネット上で公開されていたものを利用している
|
Sasserとその亜種(現状はオリジナルを含め4種類)は、Windowsのセキュリティ修正プログラム「MS04-011」で修正されるLSASSの脆弱性を悪用するもので、Windows XP/2000が感染対象。感染までにはTCPポート445、同9996(Sasser.Dのみ9995)、同5554の3つを利用し、自身をavserve.exeとしてコピーする。感染活動を行うIPアドレスは完全にランダムに生成されるほか、下位の2~3オクテットのみをランダムな数字に変更したアドレスに対しても感染を試みる。また特徴の1つとして、LSASS.exeプロセスをクラッシュさせるためにWindowsがシャットダウンすることがあるが、これは必ず起こるわけではないという。
亜種は3種類が確認されている。5月1日(米国時間)に発見された最初の亜種「Sasser.B」では、ワームのファイル名をavserve2.exeに変更するなど数点の違いがあるが、感染ロジック自体はオリジナルと変わらない。しかし、5月2日(同)に発見された「Sasser.C」では感染活動のために実行するスレッドが同時128から1,024へと拡大され、よりPCに対する負荷が大きくなっている。また5月3日(同)に発見された「Sasser.D」は、感染に利用するTCPポートの1つが前述のように9995に変更されているほか、セキュリティホールを持つPCを発見するためにICMPのエコー要求(Ping)を出す点が異なる。
■ 感染報告はコンシューマ中心だが企業ユーザーも警戒が必要
|
Symantec Security ResponseのDevelopment Manager、星澤 裕二氏
|
感染数は、Symantec Security Responseが把握している範囲ではSasserオリジナルから順に459件/2件(ワールドワイド/日本、以下同じ)、11,912件/111件、167件/5件、80件/0件となっており、Sasser.Bが圧倒的に多い。このためにシマンテックでも同亜種のみ危険度が「4」(ほかの3つは3以下)に設定されている。国内からの報告が少ないのは、Sasserの登場が連休中であったことに加え、「もともと国内では被害の割に報告が少ない傾向がある」(星澤氏)とし、報告が少ないからといっても被害が少ないとは限らないと述べた。なお、Sasser.Bが行う感染活動のプロセス自体はオリジナルと変わらないため、Sasser.Bがオリジナルよりも流行しているのは、「たまたまではないか」(星澤氏)とのこと。
また現状では感染報告はほとんどコンシューマーのユーザーからというが、星澤氏はこの理由として「報告の形式が異なる企業系のユーザーからの分はまだ集計数に入っていないこと」、「ローカルアドレスが感染の対象からはずれていること」をあげた。確かに、現状発見されている4種では、「127.0.0.1(ループバック)」と「169.254.x.x(リンクローカルアドレス)」、「10.x.x.x(クラスA)」、「172.16.x.x-172.31.x.x(クラスB)」、「192.168.x.x(クラスC)」の各ローカルアドレスは含まれておらず、そのために社内でローカルIPを利用している企業の感染を防ぐことができていることは可能性はある。しかし、「(ローカルアドレスを感染対象に含めるような)ロジックの変更は簡単に行えるため、新たな亜種の登場も想定される」(同氏)とのことで、根本的な対応が必要であるのは企業でも同じだ。
【5月11日追記】
シマンテックでは当初「Sasser(オリジナル、亜種B~D)はプライベートアドレスなど特定のIPアドレスを攻撃対象としない」としていたが、「完全にランダムなアドレスを生成する52%分では、これらのIPも攻撃対象とすることがわかった」とコメントを訂正している。
■ Blasterと比べても見劣りしない
過去のウイルスとの比較に関しては、発生後の日数経過に応じた感染報告のグラフを提示。それによると、ワールドワイドでは発見日こそNetskyやBlasterよりも少ないものの、Sasser.Bは2日目以降それらをしのぐ勢いで推移している。またTCPポート445からの攻撃状況に関しても言及した同氏は「すべてSasserとその亜種が原因とは限らないが、50万以上の異なるIPアドレスからアタックが行われている」状況を示した。「感染活動の状況を厳密に比較してはいない(ので断言はできない)が、Pingを投げるSasser.Dやスレッドの多いSasser.Cなども登場しており、場合によってはトラフィックが上がるだろう」と述べ、Blaster級のネットワークトラフィックが発生する可能性も否定はできないとしている。
星澤氏はさらに、Sasser.Bを駆除するツールを装う「Netsky.AC」にも触れた。これは、SymantecやSophos、MCAfeeといったウイルス対策ベンダからのメールに見せかけ、添付ファイルとして付属しているワームを実行させようとするもの。「当社をはじめとして、ウイルス対策ベンダが対策ツール自体をメールで送信することは、ふつうない」(同氏)とのことで、こうしたメールを見かけた場合には注意が必要だ。
|
|
Sasserの感染状況推移を時系列で表したグラフ(ワールドワイド版)。縦軸が報告数、横軸が発見からの経過日数となっている
|
左図の日本国内版。両図とも、Blasterなどが比較対象として示されている
|
■ URL
株式会社シマンテック
http://www.symantec.co.jp/
W32.Sasser.Worm
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
■ 関連記事
・ Sasserワームの感染拡大をマイクロソフトなどが警告(2004/05/06)
( 石井 一志 )
2004/05/06 19:58
|