|
さかにゃ日記 Information(臨時連絡):
現在臨時連絡はありません。 まぁ暇なときでかまわないので、 一度くらいは通常のInformationをご覧ください。
この日記中のamazon.co.jpへのリンクはアソシエイト・プログラムが適用されています。
最近さかにゃ日記経由でAmazonで発注していただいた商品リスト
自分でまとめてみる。
_ 感染源
- 大前提
- いかなる形であれNimda本体であるreadme.exeを実行することで感染。
- 改ざんされたWebSiteの閲覧
- 5.5SP1以前のIE(5.01SP2は除く)にて、Nimdaにより改ざんされたWebSiteを閲覧すると readme.exeが自動でダウンロード、実行され感染
0925/20:20追記
4.01SP2以前のIEでは自動実行することはない。 対象のIEは5.0、5.01、5.01SP1、5.5、5.5SP1ということになる。- Outlook, OutlookExpressによるウィルス添付ファイルの閲覧
- Nimda自身の活動により送られてきたNimda添付メールや、 Nimda自身の活動によりネットワーク共有フォルダに作成された*.eml, *.nwsファイルを OutlookやOutlookExpressで閲覧した場合、先に述べたバージョンのIEによりreadme.exeが 自動実行され感染。 *1
通常のShell(explorer.exe)上にてシングルクリックや右クリックを行うだけで感染する場合もある模様。 その際のIEのバージョンは先に述べた脆弱性のあるもの。 詳細は不明だが脆弱性の残っているIEを利用しないことが何よりの対策となることは確か。- explorer.exeのhtmlメール閲覧機能による感染
- 先に述べた*.eml, *.nwsファイルをexplorer.exeの左側フォルダ一覧にて選択(実行ではない)することで右側の領域にhtmlメールが表示され、 先に述べたバージョンのIEによりreadme.exeが自動実行され感染。
- NimdaによるIISへの不正リクエスト
- Nimdaに感染したマシンが行う他ホストに対するhttp不正リクエストにより 対策されていないIISサーバが感染(この件ではIEのバージョンは関係ない)
- 改ざんされたriched20.dllの読みこみによる感染
- Nimdaにより改ざんされたriched20.dllと同じフォルダにあるMS-Office文書を開くと、 Officeの起動時に正規のriched20.dllではなく改ざんされたriched20.dllがロードされ感染。 詳細は[memo:1381]を参照のこと。
_ Nimdaの活動
- メール送付
- Outlookのアドレス帖よりメールアドレスを所得し、自身を添付して送信
- 自身コピー
- ネットワーク一覧をスキャンし、アクセス可能な全てのフォルダ(サブフォルダ含む)に 自身を*.emlもしくは*.nwsという名前でコピー。 この場合の*部分は、共有されている別ファイルよりランダムに所得。
- 不正リクエスト
- 他ホストに対して、既知のIISのセキュリティホールや別ワームによるバックドアに攻撃。 塞がれていないセキュリティホールやバックドアがあった場合感染。 ただし攻撃ホストの選択条件は不明。CodeRedと同じような傾向が見られる。
- システム改ざん
- 実行ファイルへの感染、自身のコピー、 自身の自動実行などの活動を行うことが報告されているが詳細は不明。 system.iniとRiched20.dllの改ざんを行うことは確認済。
レジストリの改ざんも行う模様。要調査。
0923/22:55 追記
Cドライブ(Dドライブも?未確認)のrootをネットワーク共有する。
WinNT, 2kの場合、Guestアカウントを(無効になっていれば)有効にし、 AdministratorGroupに追加する。- Web改ざん
- *.html, *.htm, *.aspファイルに対し、 自動でreadme.emlを開くよう不正なJavaScriptを追記する
_ 対策
- InternetExplorerのバージョンアップ
- IEのバージョンを5.01SP2, 5.5SP2, 6のいずれかにあげることで、 readme.exeの自動実行を防ぐことができる
0921/13:10追記
IE6はインストールの方法によっては脆弱性が残っている模様。 [memo:1302]からのスレッドを参照。
現行のIEのバージョンについてはビルド番号より確認すること。 更新バージョンはあてにならない。 ビルド番号とIEのバージョンの関係は[memo:1351]参照。- IISのセキュリティホール対策
- 現在調査中。MSの情報ではMS01-026、MS01-044、WinNT SRPの適用が指示されているがこれだけで充分かどうかは不明。 また、sadmind/IIS及びCodeRedIIによるバックドアが存在していればこれも塞ぐ。 とゆーか、そんなシステムは即座にLANケーブルひっこぬいてください。3,2,1、はい。
もちろんこれだけでは充分ではなく、readme.exeを手動で実行してしまえば一緒。 ウィルス対策ソフトの定義ファイルを最新にあげておくことは必須。
追記:0920/15:27
各社とも9/18, 19日付にて複数回定義ファイルのアップデートを行っており、 とくにSymantec社の製品では通し番号がついていないため、 念の為20日以降(日本時間)の段階で再度定義ファイルの更新を行っておくことが 推奨される。_ 駆除
感染した際の駆除方法については現在調査中。 他ホストへの攻撃を行うため、LANケーブルをひっこぬくことを強く推奨。 3,2,1、はい。
0921/12:50 追記
NAIから駆除ツールが配布されてます。 README.txtより引用1) Terminates all W32/Nimda@MM viral processes from memory
2) Scans the specified directory and all subdirectories for infected files
NOTE: The root directory of each local drive should always be targeted for the most effective repair
3) Repairs all W32/Nimda@MM files found
4) Removes all hidden open shares
5) Removes registry keys created by the worm:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\C-Z$"
6) Removes the GUEST user account from the ADMINISTRATORS group in WinNT/2K
7) Removes the "LOAD.EXE -dontrunold" command from the SYSTEM.INI files under Win9x/MEんーっと………完璧なのかな?
とりあえず、9/21 12:00現在のTrendmicro製の駆除ツールでは、 レジストリの修復を行わないことが確認されてます。
0921/14:00 追記
Symantecからも修復ツール配布。こちらもレジストリの修復は行わない模様。 適用手順は丁寧に説明してある。_ 参考
_ 注意
ここにあげた情報の真偽について一切おさかなは保証しません。 でもミスや情報不足があれば指摘してもらえるとうれしいです。
_ 更新履歴
- とりあえず作成
- OL以外のMailerについての覚書
- CERT文書の邦訳へリンク
- 0920/15:27 アンチウィルスソフトの定義ファイルの件追記
- 0920/15:50 活動にレジストリ改ざん情報を追記
- 0921/12:50 NAIによる駆除ツールについて追記
- 0921/13:05 IE6の脆弱性について追記
- 0921/14:00 Symantecから駆除ツール配布
- 0925/20:20 IE4.0以前ではNimdaの自動実行は行われない旨追記
- 0925/20:20 riched20.dllを介する新たなる感染源追記
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
![[TDS]](image/tds-banner.jpg){kind=small}