Sasserワームの被害が急速拡大中 87
ストーリー by Oliver
うじゃうじゃうじゃ 部門より
うじゃうじゃうじゃ 部門より
Anonymous Component曰く、"W32/Sasserワームに感染したPCが100万台を突破しています。
ロイターの報道によると、ゴールドマン・サックス、ドイツポスト、欧州委員会なども被害を受けた模様です。このワームも、昨年夏に感染を始めた「Blaster」ワームと同様にセキュリティ・ホール(今回悪用されているのは
MS04-011の物です)が残っているWindows 2000/XPマシンにネットワーク経由で感染しています。現在の物はTCPポート445/5554/9996番をふさぐ事でも感染を防げますが、
既に亜種が出現しているので「MS04-011」のパッチを適用するのが望ましいようです。(
日経IT Pro記事、
警察庁@police情報)
欧州では休み明けに被害が拡大したと報道されていますので、管理者の皆様、連休明けの仕事始めにはご用心下さい。"
プロバイダ別感染率 (スコア:5, 参考になる)
50%の確率で、完全ランダム
25%の確率で、1番目のオクテットが感染ホストと同じIP アドレス
25%の確率で、1番目、2番目のオクテットが、感染ホストと同じIPアドレス
を選ぶそうなので・・・後日プロバイダ別感染率がわかると色々面白そうですね。
#不謹慎な部分はお許しください
Re:プロバイダ別感染率 (スコア:1)
それでさっきから3-5秒間隔で1ipあたり2-3回ずつTCP port 445でちょっかいが来るわけね
偶然にもルータ交換中だったので、気がついたのでID
プライベート空間は攻撃対象から外されているそうです (スコア:4, 参考になる)
感染しなくても (スコア:1)
#あ、あと、駆除作業がめんどくさいというのもある。
Re:プライベート空間は攻撃対象から外されているそう (スコア:0)
うわーFJ-WANの中が大変だー
がんばれ.com室の人
#元協力会社社員なのでAC
Windows95/98/Me/NTでも感染するW32.Sasser.D (スコア:3, 興味深い)
それが、W32.Sasser.D。
ウイルス対策ソフトの定義ファイルは、これに対応したものに更新しなければなりません。
W32.Sasser.D(Symantec) [symantec.com]
WORM_SASSER.Dの詳細(トレンドマイクロ) [trendmicro.co.jp]
W32.Sasser.worm.d(日本ネットワークアソシエイツ) [nai.com]
特にNetwork Associates Inc. [nai.com]及び日本ネットワークアソシエイツ [nai.com]では危険度を「中」としておりますので、注意が必要です。
Super Souya
Re:Windows95/98/Me/NTでも感染するW32.Sasser.D (スコア:1)
symantecでは、
>Systems Affected: Windows 2000, Windows XP
トレンドマイクロでは、
>プラットフォーム: Windows 95, 98, NT, 2000, ME, XP
>..
>ワームはWindows 2000/XP の「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれるセキュリティホールを利用してワーム活動を行います。
とあり、トレンドマイクロの記述だけ見ると影響するようにも思えますが、Win9X系で使用するセキュリテイホールなど説明がありません。
Win9X系まで記載されている理由を御存知の方は教えてください。
Re:Windows95/98/Me/NTでも感染するW32.Sasser.D (スコア:3, 参考になる)
と思ったのですが、英語版のWORM_SASSER.Dの解説 [trendmicro.com]では となってますね。ううむ。
Re:Windows95/98/Me/NTでも感染するW32.Sasser.D (スコア:2, 参考になる)
対策Web以外にも明記して欲しいところですね。
寛大なCドライブ共有なんてやっていたらサーバ経由して..パターンの更新チェックは必須。
SASSER.Dではプライベートアドレス領域を相手にしないようですが、
いつまで有効なことやら。
Re:Windows95/98/Me/NTでも感染するW32.Sasser.D (スコア:3, 興味深い)
また、ワームが利用するセキュリティホールは Windows 2000/XP
ワームのプログラム自体は、95/98/ME/NTでも動きますよ、ということですね。 #オンラインで感染することはないけど。のみのものであるため、セキュリティホールを利用した進入をそれ以外
の Windowsプラットフォーム(Windows 95、98、Me、NTなど)に対
して行うことはできません。
(※但し、CD-ROM、フロッピーディスクなどの媒体を介してワームを
手作業でコピーした場合は、Windows 2000/XP以外のプラットフォ
ームでもワームは活動することができます。)
Re:Windows95/98/Me/NTでも感染するW32.Sasser.D (スコア:1)
サッサー対策なんてちょろいんじゃない? (スコア:3, 参考になる)
Foundstone 社のスキャナは無料で利用 [foundstone.com]できる。 これで職場をスキャンし、パッチ未適用の PC があれば対策して回れ。
MS04-011 の副作用が怖ければ KB835732 [microsoft.com] を見るべし。
Re:サッサー対策なんてちょろいんじゃない? (スコア:1)
それ位やらないと、本当にダメな状況だと思いますよ。
Re:サッサー対策なんてちょろいんじゃない? (スコア:2, 興味深い)
それで「感染PCは必ず持ち込まれる」という覚悟で対策しないと。
懲戒の対象にすると明文化するのは大切だと思いますが、現実に「誰が感染を持ち込んだか」と特定できる事は稀だし、「パッチなんか面倒で当てたくありません」という人がゾロゾロいる状態で、結果的に蔓延して、「サッサーを持ち込んだ奴が悪い、そいつさえ見せしめにすれば再発防止になるんだ」という発想でやられてもね。
それでもし、感染 PC が一台持ち込まれたらネットが壊滅するような組織とか、システムならば、ポリシーなんて笑い草にしかならない。 サッサーなんて、MS04-011 さえ当てていれば感染しないんだ。それすら徹底できていないなら、ポリシーなんか「絵に描いた餅」その物だと思いますが。
MS04-011 に副作用があるのは知っているが、サーバーでおいそれとは当てられないというのは理解できなくもないが (回避策を取る技術力があれば、それでも構わないが、面倒だから、というのは対策しない理由にならない) ワームの登場が懸念されていたセキュリティーホールなのに、クライアント PC ですら副作用を恐れて MS04-011 を当てないのではリスクが高すぎるので、道理を得た判断とはいえない。
追加情報 (スコア:3, 興味深い)
Sasser の件では「特落ち」状態の IPA でしたが、やっと情報が出ました。 [ipa.go.jp]
Re:追加情報 (スコア:1, 興味深い)
MS04-011の副作用 (スコア:2, 興味深い)
Re:MS04-011の副作用 (スコア:2, おもしろおかしい)
ウイルスかかってからそうなるか、あなたならどっち?
1を聞いて0を知れ!
副作用が出るのはWin2000なので (スコア:1, 参考になる)
あとMS04-011って色んなヤバイ点を一気に直すのでそれも困る
Re:MS04-011の副作用 (スコア:1)
でも、これでウィルスの被害被ったらやっぱり「自己責任」になるのかなぁ?
省庁、警察も警告だしてただろうって吊るしあげられるのかしらん・・・
Re:MS04-011の副作用 (スコア:2, 興味深い)
#と、言いたい管理者は多いんじゃないかなー
Re:MS04-011の副作用 (スコア:1)
こんなこともあろうかと (スコア:0)
あらかじめ今週いっぱい休暇取得済みですヽ(´ー`)ノ
今日から出社の若者よ、これも試練じゃ。
Re:こんなこともあろうかと (スコア:0)
お勤め先は遊園地ですか?
Re:こんなこともあろうかと (スコア:1)
Re:こんなこともあろうかと (スコア:0)
長期休業の最終日は、翌日からの作業の確認と
準備をするってのはそんなに不思議かな?
Patch CD の用意とか。
Re:MS04-011の副作用 (スコア:1)
恐らく… :|
脳味噌腐乱中…
マイクロソフトの感染確認駆除方法案内ページ (スコア:2, 参考になる)
一応チェックした方がいいのかな
MS04-011 W2K日本語修正モジュール間近? (スコア:2, 参考になる)
US版のMS04-011-W2K修正モジュール提供開始
http://support.microsoft.com/default.aspx?scid=kb;EN-US;841382 [microsoft.com]
USでは4/27ビルド-5/3付公開なので、日本語版も数日内に出ると思われます。
MS04-011を解いて置き換えて実行なんて人も出てくるんでしょうかね。
Date Time Version Size File name
10-Feb-2004 19:47 5.0.2195.6897 30,160 Mountmgr.sys
27-Apr-2004 21:11 5.0.2195.6926 1,700,736 Ntkrnlmp.exe
27-Apr-2004 21:11 5.0.2195.6926 1,700,480 Ntkrnlpa.exe
27-Apr-2004 21:11 5.0.2195.6926 1,722,112 Ntkrpamp.exe
27-Apr-2004 21:11 5.0.2195.6926 1,677,696 Ntoskrnl.exe
mountmgrだけ古いのは何故かな。諸悪の根源ってことか。
でも、ビルドNoとタイムスタンプはMS04-011本体と同じみたい。
関係者であることは確定だが。誰か分析公開してください。
Re:MS04-011 W2K日本語修正モジュール間近? (スコア:2, 興味深い)
Re:MS04-011 W2K日本語修正モジュール間近? (スコア:1)
#修正漏れなので慌てて自コメント
管理者じゃなくても (スコア:1)
#もっとも、ポートが9996でよかったと一瞬思った
#IRCのポートで6669を使ってるサーバーに接続してるんで一瞬ビビった。
Re:管理者じゃなくても (スコア:1)
もうみんなBlasterとか忘れてるのにまだかかってる奴もいた。
WindowsUpdateしてない人が多いってのもあるけど、
proxyが重いのか回線が重いのか、FireWallがきつすぎるのかしらないけど、
WindowsUpdateしようにも大抵エラーでて失敗するからできないんだよなこれが。
今年は直ったけど、去年は(設定ミスか何かで)ウイルスバスターの設定で串刺し忘れてて
そのこと知らん奴はウイルス定義ファイルのアップデートもできなかったし。
# 光京都ネットの中の人、見てますか?
1を聞いて0を知れ!
Re:管理者じゃなくても (スコア:2, 参考になる)
MSBlastのこれまでの感染数が1000万台程だと、マイクロソフトが推定していましたが、いまだに感染を続けている様ですし、これも流行期間が長くなる事が懸念されます。
せめて、「買って来てネットにつないで即感染」 だけは避けられるようにしておいて下さいね >>> PCメーカー & 販売店様
[com.com]
ごめん (スコア:1)
「greentea」に合わせた訳じゃないんだけど、タグがうまく効かなかったみたい。プレビューでは大丈夫だったんだけどね。
読みにくくてゴメンね。
Re:ごめん (スコア:1)
Oliver日記の Oliver編集長のコメント [srad.jp]を読む限り、
Slashcode 2.3系の導入で解消されるようです。
コメントでは、「いつ」というのは約束できないんですけど
と書いてありますが、多分もうじきなんだと思います。(期待します)
自己ミスですが、あんまり見たくないものですね。
Windows Update (スコア:1)
#ってすみません。手前味噌ですが。
Re:管理者じゃなくても (スコア:1)
Re:管理者じゃなくても (スコア:1)
サーバがMSのサイトからアップデートファイルを落としておいて、
クライアントはMSのサイトではなくてそのサーバから落とすって仕組みが
できるようにすればいいんでしょうね。
後はP2Pで当てた人のPCからDLできるとか、
ですけどそれはそのアップデートファイルに感染するワームが出回りそうですが…
天琉陳(Teruching)
ボヤッキー (スコア:1, 興味深い)
影響を受けるシステム:
Windows 2000, Windows Server 2003, Windows XP
影響を受けないシステム:
Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows98,Windows Me, Windows NT
この状態が多いと思います。一般ユーザーにサーバーの機能って必要なんですかね?
流石にMeはあれだけど、98手間が掛かりませんからね。
#最もWindows以外を選択した時点で相当楽ですが。
Re:ボヤッキー (スコア:1)
98が狙われる時期はそれ相応のユーザが居たからでしょう。
少なくとも、98やMeよりWinNT系列のほうが落ちないのでましかといえばまし?ほんとボヤきだな。
Re:ボヤッキー (スコア:2, すばらしい洞察)
なまじ落ちずに動き続ける為、周りに迷惑をかけ続けていても気付かなかったり。
Re:待て (スコア:1, 興味深い)
常駐ソフトとかガチャガチャ入れてて、リブートが日常茶飯事になってる
ユーザーの場合(まあ、そうでなくても9x系は不安定という事もあるけど)は
すぐにリブートしてくるので逆に接続IPがコロコロと…
落ちなければ、しつこく訪問するIP指定して対策とか一時凌ぎも
考える事が出来るだろうに、それが出来ないw
まあ、ノートン先生に頼りっぱなしにしてる点でセキュリティリテラシーは
俺も相当低いと思うので他人のことは偉そうに言えませんなw
MSの場合 (スコア:1)
#そういう問題じゃない?
最初聞いたとき (スコア:1, おもしろおかしい)
とか思ってしまった私はやっぱり古い?
# ふるいよな。
Re:最初聞いたとき (スコア:1)
次は「ハイサッサ」が出ますよ。
Re:自分はっ (スコア:1, おもしろおかしい)
語りだすのか。めちゃめちゃ鬱陶しいウイルスだな。
5月8日に、W32.Sasser.worm.e出現。 (スコア:1)
W32.Sasser.worm.e(Network Associates Inc.) [nai.com]
WORM_SASSER.E(Trend Micro) [trendmicro.com]
Super Souya
Re:パッチなどを雑誌の付録につけてくれ (スコア:1)
大半の人は入れないと思う。
特に、ウイルスって何?
とか言うような年配の方とか。
天琉陳(Teruching)
Re:パッチなどを雑誌の付録につけてくれ (スコア:2, 興味深い)
パッチ CD を手に入れられるようにしてほしいです。
# 自分のノートに SP 入れて持ち歩いているバカですが、何か?
# これが案外役に立つんだよぉお。