one-oneの日記: Blasterの悪夢, 再びか?
日記 by
one-one
タレ込もうかと思ったんですが
なんかイマイチなので こっちに書いときます.
連休明けにとんでもないことになってるなんてことはないとは思いますけど 注意しておいたほうがいい人もいるんじゃないでしょうか?
Blasterの驚異は記憶に新しいですが, Blasterと同様に ネットに接続しているだけで感染のおそれのある Sasser というワームが出ているようです.
Microsoftが4月に発表した脆弱性「MS04-011」のうち, 「LSASSの脆弱性」を悪用したしたものだそうです.
- Sasserは感染すると5554/tcp でFTPサーバを起動
- 相手方の445/tcp(SMB)に接続して9996/tcpをOpenさせる
- 相手方の9996/tcpに自分のFTP Serverに接続させるシェルコードを送信
- 相手PCを1.のFTP Serverに逆接続させて 自分をコピーさせる
- ワームのコピーには4-5けたの数字の後に「_up.exe」と続くファイル名が付く
対策は 例によってパッチをあてること, 445/tcp, 5554/tcp, 9996/tcp を Firewallなどでブロックすること, ウィルス対策ソフトの定義ファイルの更新 だそうです.
また, Apacheなどを管理している人には 鬱陶しいlog(\x90\x02\xb1\x02など)を残す AgoBotの亜種にも「LSASSの脆弱性」をつくものがある らしいので, またこの手のlogが頻繁になってきてしまうのでしょうか?
Blasterの悪夢, 再びか? More ログイン