[ VIRUS REPORT ]

Microsoft IIS / Internet Explorer

ウィルスレポート: Nimda

2001/09/23 Tomohiro Kumagai

□ 特徴

大量のメールを送信するワームだそうです。

感染経路も IIS による感染、HTML メールによる感染、ネットワーク共有による感染と多岐にわたり、感染したコンピュータ内にとどまらず、ネットワーク内のファイルにも感染する恐れがあるそうです。

感染すると、そのコンピュータへ外部から進入できるよう、ネットワーク共有を有効にするそうです。また、アクセス権限として、管理者権限をもつゲストアカウントを作成するのだとか…。

 

□ 影響範囲

このワームの影響を受ける可能性があるのは次の環境のようです。

  • Microsoft Internet Explorer 4.0
  • Microsoft Internet Explorer 4.01 - SP1 と SP2 も含む
  • Microsoft Internet Explorer 5.0
  • Microsoft Internet Explorer 5.01 / 5.01 SP1
  • Microsoft Internet Explorer 5.05 / 5.05 SP1
  • Microsoft Internet Explorer 6 (最小構成)

…、って、この状況だと、普通にメールを楽しんでいる人のほとんどが被害を受ける可能性がありそうです。

なお、上記のコントロールを使用するもの全てが影響を受ける恐れがあります。

  • Microsoft Outlook
  • Microsoft Outlook Express
  • Microsoft Office

などがその例だそうですので、これらのアプリケーションを使用する場合にも注意が必要です。なので、日常のメールのやり取りだけでも危険にさらされる人も多いはず…。

最近はすっかり SPAM メールも一般的になってしまったような感じもして、知らないところから来たメールでもうっかり開いちゃうってこともありそうで怖いです。

 

また、Windows を利用して Web サービスを運用している人も注意が必要です。

  • Microsoft Internet Information Server 4.0 ( IIS 4.0 )
  • Microsoft Internet Information Server 5.0 ( IIS 5.0 )

 

 

□ 感染経路

HTML メールが開かれることによって感染します。

感染すると、そのコンピュータは readme.exe という添付ファイルつきのメールを自動的に送信して規模を広めるそうです。それに加えて、てきとうに Web サーバを攻撃して、IIS に進入を試みます。

さらに、アクセスできるディスク内に自分自身の複製を *.eml とか *.nws といった形式で保存し、そのフォルダ内の HTML ファイル (*.ASP を含む) にも JavaScript を1行埋め込みます。そうすることで、それが表示されたときに readme.eml をダウンロードするように仕向けるそうです。readme.eml というファイルは、感染時に作られる、ウィルスが入ったメールデータです。

なので、感染したユーザがホームページを持っていたりすると、アップロード時に自分のコンピュータ内で感染したファイルが公開されてしまい、さらに規模が広がる可能性があるそうです。

Internet Explorer の弱点を突いた、ウィルスプログラムの自動実行

Internet Explorer 5.01 / 5.5 の Service Pack 2 を当てていない状態で不正な HTML メールを開いてしまうと、そこに添付されているファイルが自動的に実行されてしまうという弱点があるそうです。

Nimda はこれを利用して、HTML メールをダウンロードさせるか、または直接 HTML メールを送りつけることによって感染するするとのことです。

 

これから察すると、感染してしまった IIS からの二次感染は HTML メールのダウンロードを閲覧した人が行わなければ感染しないので各自の注意で防げそうですが、どこかで見たお話によると、自動的にダウンロードされてしまうとか…。だとするとかなり困り者です。

HTML メールが直接送られた場合も問題です。どのような HTML メールが送られるかはわかりませんけど、表示してしまうだけで感染してしまう可能性があるのでかなり注意が必要です。

IIS 関連の弱点を突いた感染

いろいろな IIS の弱点や、以前に流行した Code Red II によって残されたバックドアを利用して感染するそうです。

IIS が感染を受けると、JavaScript が埋め込まれ、そのページを訪れたユーザに対して、readme.eml という電子メールファイルをダウンロードさせようとするそうです。

これを訪問者が開いてしまうと、上記で書いたようにウィルスが自動的に実行されて感染します。

 

□ 対応策

インターネットを利用する側

Internet Explorer を、5.01 SP2 / 5.5 SP2 / 6 のいずれかにアップグレードする必要があるそうです。Microsoft 社の Internet Explorer のサイト よりダウンロードすることが出来ます。

IIS で Web サービスを公開する側

Internet Information Server (IIS) 4.0 / 5.0 が稼動しているコンピュータに、MS01-044 を充てる必要があります。

また、Windows NT 4.0 で IIS を稼動している場合には、それに加えて SRP (セキュリティ ロールアップ パッケージ) も充てる必要があるそうです。

感染しているかのチェック

被害の拡大を防ぐために、感染しているかどうかを調べておくといいでしょう。

今回は SYMANTEC 社より無償で提供されているチェックプログラムを使用してみたので、そのあたりも書いて見ます。

詳しい情報は W32.Nimda.A@mm駆除ツール のページに載っていますのでそちらを参考にしてください。ここではいわゆる体験談的な紹介です。

 

まず、Fixnimd.com を入手します。これは実行可能なプログラムファイルなので、とりあえずデスクトップにでも保存しておきましょう。

そして、チェックしたいコンピュータ上でこれを実行します。その際、Norton AntiVirus Auto-Protect などが稼動している場合にはあらかじめ停止しておくことが推奨されています。

また、Windows NT や Windows Me でのチェックの場合にも、いくつか注意事項があるようです。

 

先ほどダウンロードした Fixnimd.com を実行すると、簡単なダイアログが現れます。

[Start] ボタンを押すとチェックが開始されます。ファイルの量にもよるようですが、ファイルが多いと10分以上へいきでかかってしまうこともあるようなので、少しばかり気長に放っておきましょう。

しばらくして、「The W32.Nimda.A@mm has not been found on your computer.」 と表示されれば、とりあえず感染していないということになります。

もし見つかったりなんかしてしまうと、ネットワーク越しに感染を広めていく性質上、手中にあるネットワーク全体をチェックしなくてはならないという、とても面倒なことになってします…。

 

□ 参考リンク


 

カスタム検索

copyright © Tomohiro Kumagai @ EasyStyle G.K.
contact me: please from mail-form page.