Sasser
2004年5月6日(木曜日)
Sasser
まあ予想どおり出てきましたね、という感じですが「Sasser ワームについてのお知らせ (www.microsoft.com)」。
シマンテックの W32.Sasser.Worm (www.symantec.com) のテクニカルノート (www.symantec.com)によれば、ループバックアドレスやプライベートアドレスに対しては感染活動を行わないようです。※いやまあ、ループバックアドレスに攻撃しても意味ないですけど。
すべてのホスト IP アドレスを繰返しスキャンし、次の IP アドレスを除く IP アドレスを探します。
- 127.0.0.1
- 10.x.x.x
- 172.16.x.x - 172.31.x.x
- 192.168.x.x
- 169.254.x.x
以上、シマンテックのW32.Sasser.Worm より
つまり Blaster や Welchia の時に起きた「LAN 内に感染マシンが持ち込まれてファイアウォールの内側から感染」というパターンは起きないはずですので、Blaster の時ほどの騒ぎにはならないような気もします。省庁・自治体もファイアウォール信仰でとりあえずは安心でしょう。
ただ、今後そのような亜種が出ないとも限らないので、警戒しておく必要はありますね。
……などと書いていましたが、そうでもないようです。参考 : 「プライベートアドレスまで対象にするSasser、週明けにも注意を (www.itmedia.co.jp)」
これまで、Sasserは4種ともグローバルIPアドレスのみを攻撃対象にすると説明されてきた。だが、どうやらそれは間違った情報だったようだ。
(~中略~)
しかも、これまでSasserは4種ともグローバルIPアドレスのみを攻撃対象とし、プライベートアドレスには攻撃しないと説明される場合があった。だが、どうやらそれは間違った情報だったようだ。ウイルス対策ベンダー各社が更新した情報によれば、プライベートアドレスが割り当てられたマシンが攻撃されるケースもあるという。このため、プライベートアドレスを利用している企業LAN内でも、改めて注意が必要だ。
だそうで。シマンテックの説明にも注意書きが入っていますね。
このワームは完全にランダムなアドレスを作成する可能性があるため、あらゆる範囲の IP がワームの影響を受ける可能性があります。
以上、シマンテックのW32.Sasser.Worm より
- 「Sasser」へのコメント (4件)
関連する話題: セキュリティ / コンピュータウィルス
- 前(古い): PS2版ドラクエ5つづき(9)
- 次(新しい): 特定の専門知識?
