Windowsの脆弱性を攻撃して感染を広げるコンピュータ・ワーム「Sasser（サッサー）」の活動が確認された。この脆弱性向けの修正プログラムを正しく適用していないWindowsコンピュータがワーム・パケットを受信すると感染し、さらに別のコンピュータへと感染を広げる。

　Sasserが攻撃に悪用するWindowsの脆弱性は、Local Security Authority Subsystem Service（以下LSASS）に未チェック・バッファが存在するというもので、この脆弱性は、4月14日にマイクロソフトから公開されたMS04-011の修正プログラムを適用することで解消される（この修正プログラムに関するHotFix Briefings Alertの記事）。

Windows TIPS：ポート445（ダイレクト・ホスティングSMBサービス）に注意

　初期型のSasserは、生成したIPアドレスに対してTCPの445番ポートを利用するSMBセッションの接続を試み、コマンド・シェルの実行を可能にするシェル・コードを送り込む。コマンド・シェルはTCPの9996番ポート上で実行される。シェル・コードが送り込まれたコンピュータは、このコマンド・シェル上でFTPコマンドを実行し、感染元のコンピュータに接続してワーム本体の実行コードを取得する。SasserはTCPの5554番ポートを使った独自のFTPサーバ機能を持っており、これにより感染先コンピュータに対してワームの実行コード本体を送り込むようになっている（感染先のコンピュータがFTPにより実行コードをダウンロードする）。感染したコンピュータに送り込まれる実行プログラムのファイル名は、avserve.exe、avserve2.exe、skynetave.exe、4桁か5桁の数字の後に「_up.exe」が付くファイルなどである。

　Sasserは以下のレジストリに前出の実行プログラムを登録し、コンピュータの起動時にコードが実行されるようにする。起動されたコードは、別のコンピュータへの感染処理を開始する。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　しかし、すでにワーム・コードの一部を改変した亜種が複数報告されており、感染プロセスの一部や使用ポート、攻撃用コードのファイル名などは変化する可能性がある。

Sasser感染のメカニズム

Sasserは、WindowsのSMBセッション、LSASSの脆弱性、FTP接続などを利用して感染を広げる。

■感染してしまった場合の駆除方法

　感染が疑われる場合には、マイクロソフトやウイルス対策ソフト・ベンダ各社から提供されているSasserの除去ツールを利用する。手作業で除去することもできる。

• マイクロソフト（Sasser（A-D）Worm Removal Tool：KB841720）
• シマンテック
• 日本ネットワークアソシエイツ

　手作業で除去するには、［タスク マネージャ］を起動し、［プロセス］タブで「avserve.exe」または「avserve2.exe」などのSasserと疑われるプロセス、4桁か5桁の数字の後に「_up.exe」が付くプロセスを選択し、プロセスを強制的に終了させる。その後、それらの実行ファイル（ウイルス本体）を手動で削除するか、ウイルス対策ソフトウェアを実行してワームを除去する。

■防御方法

　Sasserの感染から防御するには、ファイアウォールを正しく設置し、MS04-011の修正プログラムを適用する。ただし下記のとおり、MS04-011については、適用による不具合発生の報告が複数なされているので、特に共有サーバなどへの適用では十分な事前調査が必要である。

■関連情報

• TechNetセキュリティ情報 MS04-011（Microsoft Windowsのセキュリティ修正プログラム）

• Sasserワームについてのお知らせ（マイクロソフト）

• 「Sasser に関する情報」更新履歴（マイクロソフト）

• Sasserウイルスに関する情報 Windows 2000編（マイクロソフト）

• Sasserウイルスに関する情報 Windows XP編（マイクロソフト）

• Windows LSASS の脆弱性を使って伝播するワーム W32/Sasser（JPSERT）

• 新種ワーム「W32/Sasser」に関する情報（情報処理推進機構）

• Microsoft LSASS Sasser ワームの拡散（インターネット セキュリティ システムズ）

• WORM_SASSER.A（トレンドマイクロ）

• W32.Sasser.Worm（シマンテック）

• W32/Sasser.worm（日本ネットワークアソシエイツ）

• WORM_SASSER.B（トレンドマイクロ）

• W32.Sasser.Worm.B（シマンテック）

• WORM_SASSER.C（トレンドマイクロ）

• W32/Sasser.worm.c（日本ネットワークアソシエイツ）

• WORM_SASSER.D（トレンドマイクロ）

• W32/Sasser.worm.d（日本ネットワークアソシエイツ）

• W32/Gaobot.worm.ali（日本ネットワークアソシエイツ）

　Sasserの攻撃対象ともなっている脆弱性を解消する修正プログラムMS04-011であるが、マイクロソフトや各種掲示板、いくつかのコンピュータ・ベンダの報告によれば、MS04-011の適用によって多数の不具合が発生している。危険性の高い脆弱性を解消する修正プログラムなので早期の適用が必要だが、一方で適用にあたって不具合が自身の業務に影響しないかどうかをよく調査する必要がある。

マイクロソフトが明らかにしたMS04-011の適用によって発生する不具合

　マイクロソフトは、4月14日に提供を開始した「TechNetセキュリティ：MS04-011（Microsoft Windowsのセキュリティ修正プログラム）」の修正プログラムを適用することにより、不具合が発生する可能性があることを明らかにした。

• サポート技術情報 835732（[MS04-011] Microsoft Windowsのセキュリティ修正プログラム）
  

　4月30日現在、マイクロソフトが明らかにしている修正プログラム適用による不具合は、以下の3つである。

■（不具合1）コンピュータが起動中に止まってしまったり、システム・プロセスによりCPU占有率が100％になったりする不具合

　Windows 2000に対してMS04-011を適用すると、コンピュータの起動が止まってしまったり、システム・プロセスによりCPU占有率が100％になってしまったりする。

　この現象が発生するのは、「ipsecw2k.sys」「imcide.sys」「dlttape.sys」のいずれかのドライバ・ファイルがインストールされている場合である。サポート技術情報によれば、Nortel Networks VPNを利用し、サービスで「IPSec Policy Agent」の「スタートアップの種類」を手動または自動で設定している場合、障害が発生する可能性があるとしている。またSCSIのDLTテープドライブを利用している場合、「dlttape.sys」がインストールされるため、この障害が発生する危険性がある。

　ただし、セキュリティ関連の掲示板などによると、これらのドライバ・ファイルが含まれていないと思われる環境においても、同様の不具合が発生しているようだ。上述以外のドライバ・ファイルにおいても不具合が発生する可能性があるものと思われる。

• サポート技術情報 841382（MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、CPU 使用率 100% の現象が発生する）

■（不具合2）STOP 0x00000079エラーが発生する不具合

　マルチプロセッサ環境のWindows NT 4.0にMS04-011の修正プログラムを適用すると、「STOP 0x00000079エラー」が発生し、ブルー・スクリーンとなる。この不具合は、マルチプロセッサ環境のWindows NT 4.0に対し、シングルプロセッサ環境向けのカーネル・ファイル（ntoskrnl.exe）がインストールされるために発生する。

　マイクロソフトは、Windows 2000またはWindows XPのCD-ROMから起動し、%SystemRoot%\$NtUninstallKB835732$\ntoskrnl.exeを%SystemRoot%\System32\にコピーすることで、Windows NT 4.0が起動できるようになる、としている。MS04-011を正常にインストールするには、その後に%SystemRoot%\Repair\Setup.logの内容を修正してMS04-011のアンインストールと再インストールなどを行う必要がある。

• サポート技術情報 841384（Windows NT 4.0 に MS04-011 のセキュリティ修正プログラムをインストールした後 "STOP 0x00000079" エラー が発生する）

■（不具合3）Adobe Illustratorで作成したEMFファイルが表示できなくなる不具合

　MS04-011の修正プログラムを適用すると、Adobe Illustratorで作成したEMF （Enhanced Metafile Format：拡張メタファイル・フォーマット）形式の画像ファイルがInternet Explorerなどで表示できなくなる。

　Windows NT 4.0／2000／XP／Windows Server 2003において、この不具合が発生する可能性があるとしている。Windows 2000とWindows XPに対しては、マイクロソフトのサポート窓口に連絡することにより、この不具合を解消する修正プログラムが入手可能だ。なおWindows Server 2003向けの修正プログラムは、現在のところ提供されていない。

• サポート技術情報 840997（Adobe Illustrator で作成された拡張メタファイル形式のグラフィック ファイル (EMF 画像ファイル) が表示されない）
  

Oracle8iでサービスによるデータベースの自動起動ができなくなる

　オラクルは、自社のサイトで、Oracle8i R8.1.xの稼働しているWindows 2000にMS04-011の修正プログラムを適用すると、サービスによるデータベースの自動起動ができなくなる不具合があると報告した。Oracle8i R8.1.xでは、サービス起動時に内部的に実行する「oradim.exe」の処理でタイミング依存の部分があり、タイミングによっては処理がハングアップ状態になる不具合があったという。MS04-011の修正プログラムの適用により、この潜在的な不具合の発生頻度が高くなることで障害が発生したと、オラクルが製品の不具合であることを明らかにした。

• Microsoft Windows 修正プログラム KB835732 適用環境で、サービスによる自動起動ができない（オラクル）
  

Windows XP SP1／SP1aでUpdateEXPERT 5.1による修正プログラムの適用ができなくなる

　ホットフィックス管理ソフトウェアのUpdateEXPERT 5.1において、MS04-011の修正プログラムを適用したWindows XP SP1／SP1a上から、ほかのコンピュータに対して修正プログラムの適用が行えなくなる、という障害が発生したことを報告している。

　UpdateEXPERT 5.1の発売元であるアップデートテクノロジー社では、MS04-011の修正プログラムに含まれる「Windows Managementの脆弱性」の解消による仕様変更が障害発生の原因と推測している。「Windows Managementの脆弱性」とは、Windows XPで特権を持たないユーザーが、システム特権で実行されるタスクを作成できることがあるというもので、Windows XPのみを対象としている。

　アップデートテクノロジー社のレポートによれば、この障害は「Windows XP SP未適用では発生しない」としている。障害の原因がMS04-011の適用による仕様変更の影響なのか、修正プログラムの不具合なのか、現時点では明らかにしていない。またUpdateEXPERTに限らず、タスク機能を利用し、アプリケーションの配布を行うような資産管理ソフトウェアにおいても、同様の障害が発生する可能性がある。

• [重要] UpdateEXPERT Ver.5.1をご利用のお客さまへの緊急のお知らせ（アップデートテクノロジー）

• UpdateEXPERTの詳細（＠IT FYI）
  

PRIMERGY TX200FTでの不具合

　富士通は、同社製のIAサーバ「PRIMERGY TX200FT」にMS04-011の修正プログラムの適用を見合わせるようにアナウンスしていた。その後同社は、MS04-011を適用する前に、「緊急修正プログラム」として同社が提供するプログラムを適用することを告知している（5月6日時点のファイル・バージョンは「PRIMERGY TX200FT（Windows 2000タイプ）EnduranceソフトウェアV5 緊急修正#001 V1.0L10」）。

　不具合の詳細などは明らかになっていないが、MS04-011の適用によって、何らかの互換性問題が生じたものと推測される。

• [緊急] Windowsの脆弱性[MS04-011〜014]に関するお知らせ（富士通）

■このほかの障害情報

　Windows関連の掲示版などの書き込みによれば、以下のような障害も発生しているようだ。

• サウンドがビープ音に変わる
  　Windows 2000にMS04-011の修正プログラムを適用すると、Windowsのサウンドがビープ音に変わってしまうという不具合が複数報告されている。原因は不明だ。［コントロール パネル］−［サウンドとマルチメディア］ダイアログ−［サウント］タブの［サウンド イベント］ですべてのサウンド・イベントを「なし」に設定し、再起動後に設定することで障害が復旧したという報告もある。

• Windows Server 2003でInternet Explorerの暗号強度が0ビットとして表示される
  　MS04-011の修正プログラムに含まれる「schannel.dll」が正しく更新されず、ファイルが壊れてしまうために発生するようだ。MS04-011を再適用することで障害が解消する可能性がある。

　マイクロソフトは、2004年3月24日に公開した「サポート技術情報：833858（Office XPアップデートについて）」に対応する日本語版の修正プログラムの提供を開始した。この修正プログラムの適用により、Script Editorでの重要なセキュリティの更新、安定性の強化が図られる。

　適用対象となるプラットフォームはOffice XP SP-3なので、SP-3をまだ適用していない場合は、SP-3をインストール後に今回の修正プログラムを適用すること。

• サポート技術情報 833858（Office XPアップデートについて）
• ダウンロード・センター（Office XPアップデート: KB833858）

　マイクロソフトは、「TechNetセキュリティ情報：MS03-023（HTML コンバータのバッファ オーバーランにより、コードが実行される）」「TechNetセキュリティ情報：MS03-024（Windows のバッファ オーバーランによりデータが破損する）」に対処するWindows NT Workstation 4.0／Windows 2000 SP2向けの修正プログラムの提供を開始した。

　2003年にMS03-023とMS03-024の修正プログラムの提供された時点で、これらのWindows OSは、ライフサイクル・ポリシーに基づきサポート対象外となっていた。そのため、上記OS向けの修正プログラムは提供されなかった。しかしその後マイクロソフトは、古いWindows OSのサポート延長を発表した。今回提供されるのは、このサポート延長に対応したものだ。

　ただし修正プログラムを入手するには、マイクロソフト製品サポート・サービスへの問い合わせが必要である。

• サポート技術情報 827805（コンピュータが同じドメインで実行されていない場合にMSDTCによる相互認証が失敗する）：［Windows Server 2003, Enterprise Edition］［SQL Server 2000 Enterprise Edition］

• サポート技術情報 825809（Windows Server 2003でFrontPage Server Extensionsのインストールまたはチェックを行うと応答が停止する）：［Windows Server 2003］

• サポート技術情報 315325（Windows XP へのアップグレード後、ドキュメントを印刷できない）：［Windows XP］

• サポート技術情報 840839（Windows Media Player 9で再生するコンテンツが正しく再生されない）：［Windows Media Player 9］

• ダウンロード・センター（Microsoft VM 診断ツール 1.0a）

• サポート技術情報 816843（Windows XP上でUSBデバイスをすばやく素早く交換するとUSBホスト コントローラが機能を停止する）：［Windows XP］

• サポート技術情報 822430（エクスプローラで大きなAVIファイルをクリックするとWindowsが応答を停止する）：［Windows XP］

• サポート技術情報 307094（FILE:// プロトコルを使用して、ファイルをダウンロードしようとすると、Internet Explorerが応答を停止する）：［Windows XP］

• サポート技術情報 832577（起動中にコンピュータが応答を停止する）：［Windows XP SP1／SP1a］

• サポート技術情報 840946（コモンダイアログで保存先にフロッピーディスクドライブを選択するとハングアップする場合がある）：［Windows XP］

• サポート技術情報 840944（[ワイヤレスネットワーク接続] のプロパティが英語で表示される）：［Windows XP］

• ダウンロード・センター（Exchange 2000 Post-SP3 Rollup パッチ 6556.4）：［Exchange 2000 Server SP3］

• ダウンロード・センター（Critical Update for Windows Small Business Server 2003 (KB832880)）：［SBS 2003］