LSASS 脆弱性を狙った新たなワームが発生

この記事のURLhttp://japan.internet.com/webtech/20040527/10.html

ウィルス対策各社によると、Microsoft (NASDAQ:MSFT) が4月の月例セキュリティ情報で対応した、「Local Security Authority Subsystem Service」(LSASS) の脆弱性を悪用するワームが、また現われたという。

今回のワームは『W32.Korgo.B』もしくは『Padobot』という名称で、各社は25日前後に感染報告を公開した。同ワームは LSASS 脆弱性を通じて感染を続けており、これは Microsoft が4月13日に公開したセキュリティ情報「MS04-011」を適用していないパソコンに感染している模様。

セキュリティ会社の F-Secure によると、同ワームは TCP ポート113、3067、および 2041 を開き、コマンドを受け付けることが可能という。

同社の警告では、「同じ LSASS 脆弱性を悪用する他のワームと同様に、同ワームも感染、攻撃先として、ランダムに特定した IP アドレスにアクセスする」としている。

また同ワームは、コマンド受け付けとデータ転送のため、複数の IRC サーバーに接続を試みる。

Symantec (NASDAQ:SYMC) も同様の警告を出しており、同ワームが、認証無しに対象システムへリモートアクセスできるバックドアを設けるとしている。

Korgo 以前にも、LSASS 脆弱性を狙ったワームが多数発生している。今月はじめには『Sasser』ワームが企業ネットワークを襲い、Microsoft は同ワーム感染を防ぐため、専用のワーム削除ツールを公開した。

こうした大型感染の拡大防止措置として、ツールを作成し配布するという活動をさらに拡大し、同社では年末にも、悪意あるワームの危険度に応じて、ワームの削除処理を自動化する計画を明らかにしている。