公開日:2004.05.02 15:20 最終更新日:2004.08.28 22:49

TRJVN-2004-02
W32/Sasser ワーム

概要


W32/Sasser と呼ばれ、MS04-011 で報告された Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用して感染活動を行うワームについての情報です。

時系列イベント


日時 (JST)内容
2004-04-30 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1)
マカフィー W32/Sasser.worm
シマンテック W32.Sasser.Worm
トレンドマイクロ WORM_SASSER.A
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Fri Apr 30 19:23:16 2004
2004-05-01 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1b)
マカフィー W32/Sasser.worm.b
シマンテック W32.Sasser.B.Worm
トレンドマイクロ WORM_SASSER.B
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Sat May 1 07:39:48 2004
2004-05-01 マイクロソフト Sasser ワームについてのお知らせ を Web 公開
2004-05-02 マイクロソフト Sasser ワーム駆除ツール Version 1.0 (Sasser.A 〜 Sasser.B の検知および駆除) を Web 公開
2004-05-02 07:12@police W32.Sasser.worm ウイルスの発生について(5/2) を Web 公開
#Last-Modified: Sat, 01 May 2004 22:12:25 GMT
2004-05-02 12:27ISSKK Microsoft LSASS Sasser ワームの拡散 を Web 公開
#Last-Modified: Sun, 02 May 2004 03:27:36 GMT
2004-05-02 eEye Digital Security Sasser Worm Technical Analysis (翻訳版 by ラック) を Web 公開
Retina Sasser Worm Scanner をリリース
2004-05-02 21:45US-CERT Current Activity として W32/Sasser を報告
#Last reviewed: May 2, 2004 08:45:40 EDT
2004-05-02 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1c)
マカフィー W32/Sasser.worm.c
シマンテック W32.Sasser.C.Worm
トレンドマイクロ WORM_SASSER.C
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Sat May 1 14:07:32 2004
2004-05-03 09:45@police W32.Sasser.worm ウイルスの発生について(5/3)更新 を Web 公開
#Last-Modified: Mon, 03 May 2004 00:45:30 GMT
2004-05-03 SANS Institute Multiple Exploits targeting Microsoft MS-04-011 vulnerabilities threaten networks. において、ICMP トラフィックの増加を報告 (May 3rd 09:30 AM)
2004-05-03 (米国日付) MS04-011/VU#753212 を悪用するワーム (ICMP を用いたスキャンを実施する) (*1d)
マカフィー W32/Sasser.worm.d
シマンテック W32.Sasser.D
トレンドマイクロ WORM_SASSER.D
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Sun May 2 10:53:43 2004
2004-05-04 11:47JPCERT メーリングリスト経由で JPCERT/CC Alert 2004-05-04 W32/Sasser worm exploiting Windows LSASS が届く
#Post-Date: Tue, 04 May 2004 11:29:57 +0900
2004-05-05 マイクロソフト Sasser ワーム駆除ツール Version 2.0 (Sasser.A 〜 Sasser.D の検知および駆除) を Web 公開
2004-05-05 IPA/ISEC 新種ワーム「W32/Sasser」に関する情報 を Web 公開
2004-05-05 20:06経済産業省 マイクロソフト社製OSの脆弱性を攻撃するワームへの緊急の対応及び 大型連休明けの情報セキュリティ対策の徹底要請について を Web 公開
#Last-Modified: Wed, 05 May 2004 11:06:51 GMT
2004-05-06 マイクロソフト Sasser ワームおよび亜種についての警報 を Web 公開
2004-05-07 19:47@police ICMPトラフィックの増加について(5/7) を Web 公開
#Last-Modified: Fri, 07 May 2004 10:47:40 GMT
2004-05-07 19:54@police Sasser.Dワームの概要について(5/7) を Web 公開
#Last-Modified: Fri, 07 May 2004 10:54:08 GMT
2004-05-08 (米国日付)Sasser の容疑者逮捕
#Reference: Microsoft
#Reference: F-Secure (The end of NetSky and Sasser saga?)
2004-05-08 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1e)
マカフィー W32/Sasser.worm.e
トレンドマイクロ WORM_SASSER.E
#Reference: F-Secure (After the arrest, a new variant of Sasser found)
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Mon May 3 18:04:54 2004
2004-05-09 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1e)
シマンテック W32.Sasser.E.Worm
2004-05-10 マイクロソフト Sasser ワーム駆除ツール Version 3.0 (Sasser.A 〜 Sasser.E の検知および駆除) を Web 公開
2004-05-10 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1f)
シマンテック W32.Sasser.F.Worm
トレンドマイクロ WORM_SASSER.F
#Reference: LURHQ (Sasser Worm Analysis)
#Compile_Date: Fri Apr 30 19:23:16 2004
2004-05-11 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1f)
マカフィー W32/Sasser.worm.f
2004-05-12 マイクロソフト Sasser ワーム駆除ツール Version 4.0 (Sasser.A 〜 Sasser.F の検知および駆除) を Web 公開
2004-05-13 (米国日付) Sasser ワームに内在する ftpd の脆弱性を悪用するワーム(*2)
トレンドマイクロ WORM_DABBER.AD
#Reference: LURHQ (Dabber Worm Analysis)
#Compile_Date: Wed May 12 00:46:01 2004
2004-05-13 18:30JPCERT Sasser ワームの感染活動に関連するポートスキャン状況について を Web 公開
#Last-Modified: Thu, 13 May 2004 09:30:53 GMT
2004-05-14 (米国日付) Sasser ワームに内在する ftpd の脆弱性を悪用するワーム(*2)
マカフィー W32/Dabber.worm.a C
2004-08-23 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1g)
シマンテック W32.Sasser.G.Worm
2004-08-24 (米国日付) MS04-011/VU#753212 を悪用するワーム (*1g)
マカフィー W32/Sasser.worm.g

No.名称MS#使用ポート作成ファイル
*1Sasser.A
W32/Sasser.worm
W32.Sasser.Worm
WORM_SASSER.A
MS04-011/VU#753212 445,5554,9996/tcpavserve.exe
*1bSasser.B
W32/Sasser.worm.b
W32.Sasser.B.Worm
WORM_SASSER.B
MS04-011/VU#753212 445,5554,9996/tcpavserve2.exe
*1cSasser.C
W32/Sasser.worm.c
W32.Sasser.C.Worm
WORM_SASSER.C
MS04-011/VU#753212 445,5554,9996/tcpavserve2.exe
*1dSasser.D
W32/Sasser.worm.d
W32.Sasser.D
WORM_SASSER.D
MS04-011/VU#753212 445,5554,9995/tcpskynetave.exe
*1eSasser.E
W32/Sasser.worm.e
W32.Sasser.E.Worm
WORM_SASSER.E
MS04-011/VU#753212 445,1022,1023/tcplsasss.exe
*1fSasser.F
W32/Sasser.worm.f
W32.Sasser.F.Worm
WORM_SASSER.F
MS04-011/VU#753212 445,5554,9996/tcpnapatch.exe
*1gSasser.G
W32/Sasser.worm.g
W32.Sasser.G.Worm
MS04-011/VU#753212 445,5554,9996/tcpavserve3.exe
or wserver.exe

参考情報

  1. JPCERT/CC Alert 2004-05-04
    Windows LSASS の脆弱性を使って伝播するワーム W32/Sasser
  2. Technical Cyber Security Alert TA04-104A
    Multiple Vulnerabilities in Microsoft Products
  3. Vendor Status Note JVNTA04-104A
    Microsoft Windows 環境に複数の脆弱性
  4. Status Tracking Note TRTA04-104A
    Microsoft Windows 環境に複数の脆弱性
  5. ベンダ情報
マイクロソフトSasser ワームについてのお知らせ
Sasser ワームおよび亜種についての警報

アンラボWin32/Sasser.worm.15872
Win32/Sasser.worm.15872.B
Win32/Sasser.worm.15872.C
Win32/Sasser.worm.16384
Win32/Sasser.worm.15872.D
シマンテックW32.Sasser.Worm
W32.Sasser.B.Worm
W32.Sasser.C.Worm
W32.Sasser.D
W32.Sasser.E.Worm
W32.Sasser.F.Worm
W32.Sasser.G.Worm
ソフォスSasser インターネット送信型ワーム感染の最新情報
W32/Sasser-A
W32/Sasser-B
W32/Sasser-D
W32/Sasser-E
W32/Sasser-F
トレンドマイクロ サッサー対策Web
WORM_SASSER.A
WORM_SASSER.B
WORM_SASSER.C
WORM_SASSER.D
WORM_SASSER.E
WORM_SASSER.F
日本エフセキュアSasser
Sasser.B
Sasser.C
Sasser.D
Sasser.E
Sasser.F
マカフィーW32/Sasser.worm
W32/Sasser.worm.b
W32/Sasser.worm.c
W32/Sasser.worm.d
W32/Sasser.worm.e
W32/Sasser.worm.f
W32/Sasser.worm.g

BIGLOBEウイルス「W32.Sasser.B.Worm(サザーワームB)」の対策について
@nifty新種ウイルス情報(WORM_SASSER.A、WORM_SASSER.B(サッサー))
OCNSASSERワームに関する情報

富士通Sasserウイルス(ワーム)の対策手順について (個人向け)
Sasserウイルス(ワーム)の対策手順について (法人向け)
日立Sasser ワームに関する情報
松下電器新種のウイルス「Sasser」にご注意下さい
NEC「ウイルス」Sasser(サッサー)について
「ウイルス」Sasser(サッサー)亜種について
ソニーコンピューターワーム「Sasser」およびその亜種に関するウイルス情報
東芝コンピュータウイルス「W32.Sasser.Worm」について