2001.9.19
利用者各位
                                   湘南計算機室
              
              Nimda コンピュータウイルスについて     

9/18 22:00 頃より、Nimda という非常に強力なワームが出まわっています。

Nimda は以下のような感染手法を持っています。

  1. メールの送信

   Nimda は、自分自身含むメールを送信する機能を持っています。

   該当のメールを受信した場合、多くのメーラーでは添付ファイルを実行し
   なければ問題ないのですが、Outlook/Outlook Express など、HTML メール
   の表示に IE を利用しているものでは、MS01-020 のセキュリティホールが
   残っているバージョン(*1) だと、メールの本文を読むだけで Nimda に感
   染してしまいます。

     (*1) IE 5.5 SP1 以前と IE 5.01 SP1 以前 で MS01-020 のセキュリティ
         ホールが残っています。IE 6, IE 5.5 SP2, IE 5.01 SP2 ならば問
         題ありません。

   ウィルスチェックソフトでも、9/19 の昼頃になって対応するパターンファ
   イルが出始めたところです。そのため、それ以前のパターンファイルを使
   用しているサイトと、Nimda はすり抜けてしまいます。

  2. ファイルコピー

   Nimda は A:〜Z: までの全ドライブの全フォルダに自身のコピーを作成し
   ます。このコピーはローカル、ネットワークを問わず行われるため、ネッ
   トワークを通して他のマシンに感染を行う可能性があり、非常に危険です。
   コピーの際にはコピーを行うディレクトリ内に存在するファイル一つを 
   Nimda のメールファイルで上書きし、拡張子を .eml もしくは .nws に変
   更します。ワームに上書されたファイルは失われてます。

  3. Web 改竄

   このファイルコピーを行うときに、コピーを行うフォルダに html ファイ
   ルがあると、このファイルに JavaScript のコマンドを一行追加すると同
   時に README.EML のファイル名で Nimda のメールファイルを作成します。
   この html を、上述の MS01-020 のセキュリティホールがある IE でアク
   セスすると、ページを表示しただけで Nimda に感染してしまいます。

  4. IIS への侵入

   Nimda は、ランダムな IPアドレスに不正な HTTP リクエストを送信します。
   まず HEAD リクエストを送信し、その IPアドレスで IIS が稼動中だった
   ことが分かると、以下の項目をテストして侵入を試みます。

     ・CodeRed II によって仕込まれたバックドアの存在
     ・MS01-026 のセキュリティホール
     ・MS00-078 のセキュリティホール
     ・MS00-086 のセキュリティホール

   侵入に成功すると、3 の動作によりその Web サイトにアクセスしてきたユー
   ザを感染させようとするため、非常に危険な状態となります。

これ以外に、Nimda には FTP, IRC モジュールが含まれているという報告もあ
りますが、詳細は分かっていません。(このように広範囲の手法を併用するの
は、Nimda が初めてかもしれません。)

www.msn.co.jp も感染し、このページが 日本語IE のデフォルトのページとなっ
ていることもあって、このページにアクセスした多数の人が感染するという非
常に酷いことも起きました。(現在は修復されているようです。)

  
 http://help.msn.co.jp/notice.htm

なお、Web アクセスを行ったときに IIS からどのようなものが送られてくる
かについては、これを捕獲した方がいらっしゃるため、興味のある方は以下の 
URL で見ることができます。

 http://fuga.jp/~densuke/diary/?date=20010919#p09


symantec 社の解説
  
 http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
 
 http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

TrendMicro
 
 http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A


 http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

 http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

ネットワークアソシエイツ
 
 http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

CERT Advisory

 http://www.cert.org/advisories/CA-2001-26.html

Wired News
 
 http://wired.com/news/technology/0,1282,46944,00.html

zdnet
 
 http://www.zdnet.co.jp/news/0109/19/b_0918_01.html
 
 http://msn.zdnet.com/zdfeeds/msncobrand/reviews/0%2C13828%2C2811488-hud00025ab%2C00.html

security memo ML のアーカイブ

 http://memo.st.ryukoku.ac.jp/archive/200109.month/index.html

関連記事
 
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20010919/5/
 
 http://itpro.nikkeibp.co.jp/free/NOS/NEWS/20010412/2/
 
 http://itpro.nikkeibp.co.jp/NOS/reference/BUGTRAQ-JP-20010404082621-2EF2.txt

 http://itpro.nikkeibp.co.jp/NOS/reference/BUGTRAQ-JP-20010409091825-B7A1.txt

 http://itpro.nikkeibp.co.jp/NOS/reference/reference3.txt

その他のニュース

 http://headlines.yahoo.co.jp/hl?a=20010919-00000001-vgb-sci

 http://headlines.yahoo.co.jp/hl?a=20010919-00000002-vgb-sci

 http://headlines.yahoo.co.jp/hl?a=20010919-00000116-jij-bus_all

 http://www.nikkei.co.jp/news/kaigai/20010919CFNI019818.html

 http://www.asahi.com/international/update/0919/004.html

http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/gen/143385

                                                                       以上