ウイルス情報

サッサー

( W32.Sasser.IWorm )

インターネット接続で感染する［起動異常］ワーム

別名＿：

Sasser.a、Sasser.b

更新日：

2004年5月1日(土)

■感染したらどうなる

• 感染すると、avserve.exeというファイル名で自分自身をWindowsフォルダにコピーしてWindowsのセキュリティホールを利用して繁殖します。最近のメール添付ファイルから感染する[メール無断送信] ワームとは違い、ユーザーの介入が無くても感染します。特に自覚症状はありませんが、「LSA Shell (Export Version) 」というタイトルのメッセージが表示された場合は要注意です。
  詳しくは「詳細情報」をご覧ください。

■感染しないためには

• 【重要】Microsoftのウェブサイトからセキュリティ修正プログラム「MS04-011(835732)」をダウンロードしてインストールしてください（他のセキュリティパッチも併せてインストールし、システムを最新の状態に保つことをお勧めします)。
  http://windowsupdate.microsoft.com/
  「現在、利用可能な重要な更新はありません」というメッセージが出たら、安全です。
  このセキュリティホールを放置しておくと、一度駆除を行っても、このウイルスに再度感染する危険があります。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• レジストリの値を作成
  感染すると、ワームがWindowsフォルダにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
  
  以下に自分自身をコピーします。　
  C:\WINDOWS\SYSTEM\#_up.exe (Windows 98/Me)
  C:\WINNT\SYSTEM32\#_up.exe (Windows 2000)
  C:\WINDOWS\SYSTEM32\#_up.exe (Windows XP)
  #は、ランダムな数字です。
  
  スタートアップ時にウイルスが実行されるように、レジストリの値を作成します。　
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe"
  = C:\WINDOWS\avserve.exe
  　
• 不正アクセスの許可 　
  このウイルスに感染すると、TCPポート9996番と445番を開いて、Windowsのセキュリティホールを利用して繁殖します。
  FTPを通してウイルスのコピーをダウンロードするためのTCPポート5554番を開き、ウイルスがダウンロードされ実行されます。
  
• メッセージの表示
  感染すると「LSA Shell (Export Version) has encountered a problem and needs to close. We are sorry for the inconvenience.」というメッセージ画面が表示され、LSASS.EXEファイルを破壊してシステムを再起動します。