【続報】複合的な攻撃、感染機能をもつウィルス Nimda
本日増刊号にて報じたウイルス「Nimda」についての情報を整理する。
脆弱性と脅威
脅威動向
このウイルスはマイクロソフト社のIISのセキュリティホールを利用し、サーバに不正なJava Scriptを埋め込む。Internet Explorerのセキュリティホールのパッチを適用していないユーザがこのサイトを閲覧すると、感染する。感染すると以下の活動を行なう。
◇メールによる感染拡大
自身のコピーを添付したメールをウイルスが有しているSMTPエンジンを使用して送信する。この際のメールには本文が無く、サブジェクトはランダムな文字列、添付ファイル名は「readme.exe」となっている。なお、このメールはInternet Explorerのセキュリティホールに対するパッチが適用されていない場合、メールをプレビューするだけで感染する。
◇Webへ不正なJava Scriptを埋め込む
ランダムなIPアドレスを作成、アクセスし、IISのセキュリティホールに対するパッチが適用されていないWebサーバを発見すると、不正なJava Scriptを埋め込む。
◇各ドライブ(共有含む)への感染
感染したPCの全てのドライブへおよびネットワークで共有されているドライブ全てに、自身をコピーし感染させる。
◇ファイルの改竄
感染したPCの中にあるHTMLファイルを検索し、不正なJava Scriptを埋め込む。
なお、農林水産省のWebサイトもJava Scriptが埋め込まれていた。同省はサイト上で事実および現状を説明し、同省より発信されたメールには十分注意するように呼びかけている。
農林水産省(復旧済)
http://www.maff.go.jp/virus.htm
コンピュータウィルス(W32.NIMDA)について
http://www.maff.go.jp/virus.htm
関係各所の対応状況は以下の通りである。
▼シマンテック
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
9月18日付の定義ファイルで対応。マイクロソフト社から配布されているパッチの摘要を推奨。
ウイルス詳細:
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
定義ファイルダウンロードサイト:
http://www.symantec.com/region/jp/sarcj/defs.download.html
▼日本ネットワークアソシエイツ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DATファイル4159以降、エンジンバージョン4.0.70以降で対応。マイクロソフト社から配布されているパッチの摘要を推奨。
ウイルス詳細:
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
DATファイルダウンロードサイト:
http://www.nai.com/japan/download/dat.asp
▼トレンドマイクロ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パターンファイル941以降、エンジン5.200以降で対応。マイクロソフト社から配布されているパッチの摘要を推奨。
ウイルス詳細:
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm
パターンファイルダウンロードサイト:
http://www.trendmicro.co.jp/support/index.htm
▼日本エフ・セキュア
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ウイルス詳細:
http://www.f-secure.com/v-descs/nimda.shtml
パターンファイルダウンロードサイト:
http://www.F-Secure.com/download-purchase/updates.shtml
▼シー・エス・イー
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
マイクロソフト社から配布されているパッチの摘要を推奨
ウイルス詳細:
http://www.cseltd.co.jp/security/release/010919Nimda.htm
▼マイクロソフト
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
新種のワームによるサーバーの被害とご利用者への影響について。
http://help.msn.co.jp/notice.htm
《ScanNetSecurity》
