W32.Sasser.Worm
W32.Sasser.Worm
概要・背景など(5/6)
ネットワーク感染型ウイルス(ワーム)の発生が確認されています。
ワクチンベンダに寄せられる、感染報告は既に1000件を超え、尚増加を続けています。
(100万台を超えるとの、試算結果もあります。)
発生確認から間もなく、かつ、多くの業務コンピュータが休止状態であり、この値は驚異的です。
作成者の逮捕が報道されていますが、
ウイルスも、プログラムの一つの形態にすぎません。
グループによる作成や、他のウイルス作者による改変や、機能吸収により、
複合化する恐れがあります。
特に、攻撃量の増加(攻撃対象をより的確、かつ多数を標的にする)や、箇所の変化(複数の脆弱性を攻撃するようになる)などは、
確実にされると考えてよいと思います。
今後、発覚するセキュリティホールに対しては、特に注意が必要です。
感染した機体は、処理能力が著しく低下するほか、
次のメッセージが表示され、カウントダウンの後に、
強制的にシャットダウンされます。
LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM
連休明けとなる、5/6及び、5/9に、大規模な感染や、一部ネットワークの停止が予想されます。
(起動と同時に、ウイルスコードを受信、感染。感染した機体は、更に周囲に対して攻撃を行い、
連鎖的な感染を起こします。)
感染対象:4/14日以後にアップデートを行っていない、
WindowsXP、Windows2000、 Windows Server 2003を搭載した機体。
上の条件を満たす、サーバ、個人PC、共用PC、特定機能に特化した専用機(掲示・出力などを専門に行うもの)
が全て、攻撃の対象となっています。
攻撃量については、情報が少ないため、断言はできませんが、現在の時点では他に特筆すべき能力は持っていないようです。
(攻撃量を抑えているようです。が、亜種の出現により、覆る可能性があります。
デモンストレーションや、テストを行い、満足のいく結果が得られた時点で、完成されたプログラム(ウイルス)をリリースする。
ウイルスも、プログラムの1形態にすぎません。 )
現在であれば、各自が冷静にアップデートなどの適切な処置を行うことで、充分に沈静化が可能です。
(タイミングが連休明け、脆弱性の発表が4/14と、比較的対処期間が短かった、という要素があるだけです。)
但し、トロイの木馬や、ファイルを利用した感染機能などを持たせた、亜種の発生が予想されますので、
確実に、アップデートを行って下さい。
攻撃・感染方法
(現在は、ネットワーク感染のみが確認されています。
但し、 模倣するウイルスや、亜種が発生し、経路が複雑化する可能性があります。)
感染経路はネットワーク上の攻撃コードに因る、ネットワーク型に分類されます。
脆弱性が放置されているコンピュータは、ネットワークに接続しているだけで、
感染する危険性があります。
このウイルスは、WindwsOS(WindowsXP、Windows2000、
Windows Server 2003)に含まれる、
脆弱性(遠隔操作や、悪用可能なバグ)を使用して、感染を広げます。
物理的にネットワークに接続(LANケーブルで結線されているもの)しているコンピュータは、
全て攻撃対象になり得ると考えてください。
(感染したノートパソコンが一台でも接続された時点で、周囲のコンピュータは全て攻撃対象になります。)
メールを受信する、或いは開く、などといった、人為的なプロセスが必要ないため、
電気的な速度で、感染を広げていきます。
また、感染プロセスの途上、目に見える変化は全くありません。(人が認識できるものではない、ということです。)
影響
感染したコンピュータは、機体やネットワーク性能を無視した攻撃を行います。
結果、処理能力の多くを、攻撃に割くことになり、処理速度が著しく低下するほか、
フリーズ(負荷による機能停止)が誘発されます。
その際、次のメッセージがが表示された後に、
強制的にシャットダウン(電源断)されてしまう場合があります。
『LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM 』
このメッセージは、ウイルスがLSA機能を不正に使用するため、に生じます。
ただし、このメッセージ自体は、負荷限界を超えた場合や、
Windowsが、処理が継続できない、致命的なエラーを関知した際に表示するものです。
このため、表示されるタイミングは、個々の機体や、状況によって異なります。
莫大な量の攻撃コードがネットワークを占有するため、(道路をイメージして下されば、分かり易いと思います)
同様に、非常に低速になるほか、ネットワーク機器の処理能力を超えてしまった場合、付近のネットワークが停止してしまいます。
特に、隘路となる箇所が存在する場合、影響が顕著になります。
注意を要する点
新規購入した機体や、他者からの引継を行った機体などの多くは、
セキュリティ(ウイルスなどに対する抵抗力)が著しく低下しています。
把握できない、もしくはメンテナンスの及ばない機体の存在が、そのまま感染の危険に直結します。
メンテナンス要員(導入者による保守)が存在しない、 サーバや、共用コンピュータは、
管轄部署の担当者が、自主的に必要な対策を行う必要があります。
(ウイルスは攻撃対象を選別しません。抵抗力を持っていないコンピュータは全て、感染します。)
また、掲示や、用紙出力など、特定機能に特化した機械の中には、
通常時は目に見えませんが、 Windows2000を搭載しているものが多く存在します。
これらも、感染対象や、攻撃の発生源になります。
無線LANの機能がONになっている場合、結線されていない状態であっても、
感染する危険性があります。
特にノートパソコンは、感染後の機体自体が、移動する攻撃拠点となります。
自宅など、往復しているPCなどは、他所で感染することで、閉じられた
(或いは、ファイヤーウォールが存在する)ネットワークに対しても、
直接接続されてしまう危険性があります。
(城壁の中に、突然、攻撃者が出現する、という具合です。)
この場合、絶対的な管理が不可能な以上、周囲のコンピュータは、直接の攻撃にさらされることになります。
しかしながら、管理者が行う防御対策にも人的・物的なコストが存在し、
防御対策は、必要最小限にとどめられていることが殆どです。
(城壁や門番に該当する、ファイヤーウオール機能の構築、内部に対する手当としては、
警備員の巡回に相当する、監視装置の運用など。確実な方法ではありません。)
このため、直接的に攻撃を受ける、対象コンピュータが、ある程度の抵抗力を持つ必要があります。
有効な対処方法
脆弱性を解消し、攻撃を受け付けない状態にします。
多くの場合、脆弱性はOSの機能にあるため、 WindowsUpdateなどを行い、
修正プログラムを適用します。
このウイルスの場合、4/14日付け以降に、WindowsUpdateを行っていない機体は、
全て感染対象になります。
ワクチンソフトを導入し、常に最新のウイルス定義を適用させます。
万一 、ウイルスに感染してしまった場合、攻撃行為を未然に察知し、 駆除できる可能性があります。
(駆除が行えた場合でも、脆弱性を放置している限り、何度でも感染します。
また、定義ファイルにない、新種や亜種に対しては無防備な状態が継続します 。)
パーソナルファイヤーウォール(ソフトウェア・ファイヤーウォール)を導入し、
不要な通信を、受け付けない状態にします。
WindowsXPにも、不完全ながら搭載されています。
また、ワクチンソフトが、この機能をサポートしていることがあります。
最近では、無料で配布されているものもあります。
ただし、コンピュータの前に、壁を構築することになりますので、
適切に設定を行えない場合、本来の通信も遮断してしまう危険性があります。
ネ ットワークに接続する機体を、必要最小限にします。
※把握できない、もしくはメンテナンスの及ばない機体の存在が、そのまま感染に直結します。
重要性の高いデータやシステムは、ネットワーク構造を見直し、外部から直接データを受け取れない形にします。
ファイヤーウォールや、ルータを導入し、コンピュータや、ネットワークに”壁”を作ることが有効です。
ただし、共に万能ではなく、自由な通信を可能にすれば、その分だけ、攻撃を素通りさせる危険性が高くなります。
(逆に、防御を重視した場合、従来可能であった通信が遮断されます。
適切な設定(運用ルール)が必要です。
感染した場合
1.SafeModeで起動(PC購入時に付属している、説明書に記載されています。)、
もしくは、タスクマネージャから、avserve2.exeや、数字の後に _up.exe が続く名称のプロセスを終了させます。)
(作業の目的:対策作業中にコンピュータが停止する事態を防ぎます。)
2.駆除ツールをダウンロード、実行します。
(作業の目的:コンピュータ内から、ウイルスを駆除します。)
3.ウイルス定義ファイルを更新します。
4.WindowsUpdateを行います。
サービスパックや、セキュリティ更新のプログラムを優先して適用させてください。
(作業の目的:脆弱性を解消するjことで、再度の感染を防ぎます。)
上の手順は、手順の簡略化を目的にしているため、 最も効果のある方法ではありません。
所属するネットワークに管理者がいる場合は、その指示通りに実行してください。