Last-Modified: Mon, 03 Apr 2023 03:42:09 JST
フィードメーター - さかにゃ日記

さかにゃ日記

-- 2001年9月20日分 --
  • あなたはこの日記にアクセスした18,132,046人目のお客様です………けどRSSの普及によりもうあてになりません(ぉ
  • 本日は26,072人目ですね。あなたはこれまでに1回いらっしゃいました。
  • この日記の最新版はこのあたりで読めるようです
  • この日記の更新時間はここから所得してください。
  • RSSはこちらかもしくはこちらから所得してください。後者には日記全文が含まれています。
  • 各種検索エンジンより来られた方は、こちらの日記内検索を利用することでお望みの情報がみつかるかもしれません。
  • 見つからなかったらごめんなさい :-p
あわせて読みたい

さかにゃ日記 Information(臨時連絡):

現在臨時連絡はありません。 まぁ暇なときでかまわないので、 一度くらいは通常のInformationをご覧ください。


この日記中のamazon.co.jpへのリンクはアソシエイト・プログラムが適用されています。

最近さかにゃ日記経由でAmazonで発注していただいた商品リスト


2001/9/20(Thu) [n]

%3 W32/Nimda

自分でまとめてみる。

_ 感染源
大前提
いかなる形であれNimda本体であるreadme.exeを実行することで感染。
改ざんされたWebSiteの閲覧
5.5SP1以前のIE(5.01SP2は除く)にて、Nimdaにより改ざんされたWebSiteを閲覧すると readme.exeが自動でダウンロード、実行され感染

0925/20:20追記
4.01SP2以前のIEでは自動実行することはない。 対象のIEは5.0、5.01、5.01SP1、5.5、5.5SP1ということになる。
Outlook, OutlookExpressによるウィルス添付ファイルの閲覧
Nimda自身の活動により送られてきたNimda添付メールや、 Nimda自身の活動によりネットワーク共有フォルダに作成された*.eml, *.nwsファイルを OutlookやOutlookExpressで閲覧した場合、先に述べたバージョンのIEによりreadme.exeが 自動実行され感染。 *1

通常のShell(explorer.exe)上にてシングルクリックや右クリックを行うだけで感染する場合もある模様。 その際のIEのバージョンは先に述べた脆弱性のあるもの。 詳細は不明だが脆弱性の残っているIEを利用しないことが何よりの対策となることは確か。
explorer.exeのhtmlメール閲覧機能による感染
先に述べた*.eml, *.nwsファイルをexplorer.exeの左側フォルダ一覧にて選択(実行ではない)することで右側の領域にhtmlメールが表示され、 先に述べたバージョンのIEによりreadme.exeが自動実行され感染。
NimdaによるIISへの不正リクエスト
Nimdaに感染したマシンが行う他ホストに対するhttp不正リクエストにより 対策されていないIISサーバが感染(この件ではIEのバージョンは関係ない)
改ざんされたriched20.dllの読みこみによる感染
Nimdaにより改ざんされたriched20.dllと同じフォルダにあるMS-Office文書を開くと、 Officeの起動時に正規のriched20.dllではなく改ざんされたriched20.dllがロードされ感染。 詳細は[memo:1381]を参照のこと。
_ Nimdaの活動
メール送付
Outlookのアドレス帖よりメールアドレスを所得し、自身を添付して送信
自身コピー
ネットワーク一覧をスキャンし、アクセス可能な全てのフォルダ(サブフォルダ含む)に 自身を*.emlもしくは*.nwsという名前でコピー。 この場合の*部分は、共有されている別ファイルよりランダムに所得。
不正リクエスト
他ホストに対して、既知のIISのセキュリティホールや別ワームによるバックドアに攻撃。 塞がれていないセキュリティホールやバックドアがあった場合感染。 ただし攻撃ホストの選択条件は不明。CodeRedと同じような傾向が見られる。
システム改ざん
実行ファイルへの感染、自身のコピー、 自身の自動実行などの活動を行うことが報告されているが詳細は不明。 system.iniとRiched20.dllの改ざんを行うことは確認済。

レジストリの改ざんも行う模様。要調査。

0923/22:55 追記
Cドライブ(Dドライブも?未確認)のrootをネットワーク共有する。
WinNT, 2kの場合、Guestアカウントを(無効になっていれば)有効にし、 AdministratorGroupに追加する。

Web改ざん
*.html, *.htm, *.aspファイルに対し、 自動でreadme.emlを開くよう不正なJavaScriptを追記する
_ 対策
InternetExplorerのバージョンアップ
IEのバージョンを5.01SP2, 5.5SP2, 6のいずれかにあげることで、 readme.exeの自動実行を防ぐことができる

0921/13:10追記
IE6はインストールの方法によっては脆弱性が残っている模様。 [memo:1302]からのスレッドを参照。

現行のIEのバージョンについてはビルド番号より確認すること。 更新バージョンはあてにならない。 ビルド番号とIEのバージョンの関係は[memo:1351]参照。
IISのセキュリティホール対策
現在調査中。MSの情報ではMS01-026MS01-044WinNT SRPの適用が指示されているがこれだけで充分かどうかは不明。 また、sadmind/IIS及びCodeRedIIによるバックドアが存在していればこれも塞ぐ。 とゆーか、そんなシステムは即座にLANケーブルひっこぬいてください。3,2,1、はい。

もちろんこれだけでは充分ではなく、readme.exeを手動で実行してしまえば一緒。 ウィルス対策ソフトの定義ファイルを最新にあげておくことは必須。

追記:0920/15:27
各社とも9/18, 19日付にて複数回定義ファイルのアップデートを行っており、 とくにSymantec社の製品では通し番号がついていないため、 念の為20日以降(日本時間)の段階で再度定義ファイルの更新を行っておくことが 推奨される。

_ 駆除

感染した際の駆除方法については現在調査中。 他ホストへの攻撃を行うため、LANケーブルをひっこぬくことを強く推奨。 3,2,1、はい。

0921/12:50 追記
NAIから駆除ツールが配布されてます。 README.txtより引用

1) Terminates all W32/Nimda@MM viral processes from memory
2) Scans the specified directory and all subdirectories for infected files
NOTE: The root directory of each local drive should always be targeted for the most effective repair
3) Repairs all W32/Nimda@MM files found
4) Removes all hidden open shares
5) Removes registry keys created by the worm:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\C-Z$"
6) Removes the GUEST user account from the ADMINISTRATORS group in WinNT/2K
7) Removes the "LOAD.EXE -dontrunold" command from the SYSTEM.INI files under Win9x/ME

んーっと………完璧なのかな?

とりあえず、9/21 12:00現在のTrendmicro製の駆除ツールでは、 レジストリの修復を行わないことが確認されてます。

0921/14:00 追記
Symantecからも修復ツール配布。こちらもレジストリの修復は行わない模様。 適用手順は丁寧に説明してある。

_ 参考
_ 注意

ここにあげた情報の真偽について一切おさかなは保証しません。 でもミスや情報不足があれば指摘してもらえるとうれしいです。

_ 更新履歴

*1:Outlook系以外のMailerでは感染しないのか? 脆弱なIEを利用してhtmlメールを閲覧すれば同じでは?要調査。


以上、1日分です。


captured by [さかにゃ] [天野] [クリップ] [栞] [あゆあゆ] [日記バード] [御剣] [nAntenna] [さおりな] [萌黄] [萌黄] [SDB] [SDB] [ヒナノ] [みさき] [南さん] [Read List] [Read List] [みさみさ] [タク] [ヲレ] [つゆだく] [すみれ] [すみれ] [さざなみ] [ひでと] [ダメ] [読んでます] [Serching] [LCR's] [ソリトン] [妄想] [鞠絵] [とがわ] [秋葉] [わ(略)] [ろーかる] [ろーかる] [ろーかる] [あまね] [大空寺] [あくあ] [あくあ] [Ant] [ぷち] [偽善者] [偽善者(全部)] [偽善者(mini)] [いいんちょ] [markun] [NANA] [徒然] [ゆきとさん] [ゆきとさん] [だいばーしてぃー] [片桐雅代] [絆] [とりとめない] [親分] [早期警戒] [早期警戒] [あかりん] [あかりん] [くびわ] [Geiger] [猫耳めいど] [ほ〜り〜] [ひらひら] [LayserV2] [知佳] [naneyHUB] [とりがら] [はるかぜ] [#日記者:*.jp] [ぽっぺん] [雲丹] [あると] [あると] [ひらひら] [halchan] [U-Type21] [らんどすけーぷ] [ぴかにゃん] [ものみやぐら] [名無し] [花咲] [のが] [なつみ] [menchi] [burn] [Pick] [うにょん] [わっちりんく(す)] [あんてな。] [どひゃ] [ふぃーるど] [ぽぽぽ] [しっぽ] [ビビット] [HoLY] [しのぶ] [紗希音] [紗希音]
Prev 2001/9 Next
Sun Mon Tue Wed Thu Fri Sat
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30
もっと古いログ
おさかなリンク:
[information] [power] [OPG] [用誤集]
[さかにゃんてな] [検索くん] [tech-memo]
[セキュリティ関連サイト更新情報チェッカ]
Hyper Estraierによる日記内検索

[検索tips]

[dynamic,style:osakana,cache:off]
Powered by Tomsoft Diary System 1.7.3 [TDS]

Copyright(C) 2001 おさかな <osakana@chinmai.net> All rights reserved.

back