>> In article <200109190551.OAA12990@kikori.uf.a.u-tokyo.ac.jp>, SASABE Tetsuro <tss@a.u-tokyo.ac.jp> writes:
> 酒井さんが JANOG に流された情報を学部内回覧にしたいのですが、酒井さ
> んが書かれた文章であることを明記して
自由に使って頂いて構いません。
あと、情報を update しましたので、お送りします。
------------------------------ ここから ------------------------------
9/18 22:00 頃より、Nimda という非常に強力なワームが出まわっています。
Nimda は以下のような感染手法を持っています。
1. メールの送信
Nimda は、自分自身含むメールを送信する機能を持っています。
該当のメールを受信した場合、多くのメーラーでは添付ファイルを実行し
なければ問題ないのですが、Outlook/Outlook Express など、HTML メール
の表示に IE を利用しているものでは、MS01-020 のセキュリティホールが
残っているバージョン(*1) だと、メールの本文を読むだけで Nimda に感
染してしまいます。
(*1) IE 5.5 SP1 以前と IE 5.01 SP1 以前 で MS01-020 のセキュリティ
ホールが残っています。IE 6, IE 5.5 SP2, IE 5.01 SP2 ならば問
題ありません。
ウィルスチェックソフトでも、9/19 の昼頃になって対応するパターンファ
イルが出始めたところです。そのため、それ以前のパターンファイルを使
用しているサイトと、Nimda はすり抜けてしまいます。
2. ファイルコピー
Nimda は A:〜Z: までの全ドライブの全フォルダに自身のコピーを作成し
ます。このコピーはローカル、ネットワークを問わず行われるため、ネッ
トワークを通して他のマシンに感染を行う可能性があり、非常に危険です。
コピーの際にはコピーを行うディレクトリ内に存在するファイル一つを
Nimda のメールファイルで上書きし、拡張子を .eml もしくは .nws に変
更します。ワームに上書されたファイルは失われてます。
3. Web 改竄
このファイルコピーを行うときに、コピーを行うフォルダに html ファイ
ルがあると、このファイルに JavaScript のコマンドを一行追加すると同
時に README.EML のファイル名で Nimda のメールファイルを作成します。
この html を、上述の MS01-020 のセキュリティホールがある IE でアク
セスすると、ページを表示しただけで Nimda に感染してしまいます。
4. IIS への侵入
Nimda は、ランダムな IPアドレスに不正な HTTP リクエストを送信します。
まず HEAD リクエストを送信し、その IPアドレスで IIS が稼動中だった
ことが分かると、以下の項目をテストして侵入を試みます。
・CodeRed II によって仕込まれたバックドアの存在
・MS01-026 のセキュリティホール
・MS00-078 のセキュリティホール
・MS00-086 のセキュリティホール
侵入に成功すると、3 の動作によりその Web サイトにアクセスしてきたユー
ザを感染させようとするため、非常に危険な状態となります。
これ以外に、Nimda には FTP, IRC モジュールが含まれているという報告もあ
りますが、詳細は分かっていません。(このように広範囲の手法を併用するの
は、Nimda が初めてかもしれません。)
www.msn.co.jp も感染し、このページが 日本語IE のデフォルトのページとなっ
ていることもあって、このページにアクセスした多数の人が感染するという非
常に酷いことも起きました。(現在は修復されているようです。)
http://help.msn.co.jp/notice.htm
MSN 以外にも、多くの Web サイトが感染しているという報告も上がっていま
す。
なお、Web アクセスを行ったときに IIS からどのようなものが送られてくる
かについては、これを捕獲した方がいらっしゃるため、興味のある方は以下の
URL で見ることができます。
http://fuga.jp/~densuke/diary/?date=20010919#p09
symantec 社の解説
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
TrendMicro
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm
http://www.trendmicro.co.jp/virusinfo/nimda.htm
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
ネットワークアソシエイツ
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
CERT Advisory
http://www.cert.org/advisories/CA-2001-26.html
Wired News
http://wired.com/news/technology/0,1282,46944,00.html
zdnet
http://www.zdnet.co.jp/news/0109/19/b_0918_01.html
http://msn.zdnet.com/zdfeeds/msncobrand/reviews/0%2C13828%2C2811488-hud00025ab%2C00.html
security memo ML のアーカイブ
http://memo.st.ryukoku.ac.jp/archive/200109.month/index.html
関連記事
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20010919/5/
http://itpro.nikkeibp.co.jp/free/NOS/NEWS/20010412/2/
http://itpro.nikkeibp.co.jp/NOS/reference/BUGTRAQ-JP-20010404082621-2EF2.txt
http://itpro.nikkeibp.co.jp/NOS/reference/BUGTRAQ-JP-20010409091825-B7A1.txt
http://itpro.nikkeibp.co.jp/NOS/reference/reference3.txt
その他のニュース
http://headlines.yahoo.co.jp/hl?a=20010919-00000001-vgb-sci
http://headlines.yahoo.co.jp/hl?a=20010919-00000002-vgb-sci
http://headlines.yahoo.co.jp/hl?a=20010919-00000116-jij-bus_all
http://www.nikkei.co.jp/news/kaigai/20010919CFNI019818.html
http://www.asahi.com/international/update/0919/004.html
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/gen/143385
------------------------------ ここまで ------------------------------
--
酒井 清隆 (E-mail: ksakai@kso.netwk.ntt-at.co.jp)