ISEC

最終更新日:2001年 8月16日
変更履歴

「Code Red ワームに関する情報」
-- 新種の Code Red II に注意を --

8月 1日よりCode Redワームの活動が再開されていますが、それに加えて、 新種の Code Red II の発見が報告されています。 Code Red II では、新たにサーバー上に攻撃者の侵入を許すバックドアを設定されます。

8月10日現在、IPA/ISEC に報告された届出・相談件数は Code Red/Code Red II を合わせて、 100件を超えています。さらに、Code Red/Code Red II からの攻撃を受けているとの情報は多く、 種々の情報を総合すると国内で数千のサーバーが感染している可能性があります。

感染したサーバーは更に次のサーバーに感染させようとする行動により、自らの脆弱性を 公開することになり、同じ脆弱性を突く別のツールによって更に悪質な不正アクセス を受ける可能性があります。 ワクチンベンダー各社より、脆弱性検査ツール駆除ツールが提供されていますので、それらを活用することをお奨めします。 また、各ルーターベンダーからはルーター段階での対処に関する情報も提供されています。

このワームが多数のマシンに感染し、それぞれが更に感染行動をすることによって、インターネット全体に影響を与える可能性があり、対処を行わないことで自らのマシンが他のマシンへの攻撃に参加してしまう可能性があります。 特に、個人管理やSOHO で使用しているなどで管理の行き届いていないサーバーの感染が被害を増幅させることになります。 

今一度、下記の手順で確認されることをお薦めします。

Code Red と Code Red II には以下の違いがあります。

相違点 Code Red Code Red II
行動パターン 日付により行動パターンを変更 感染後 24〜48時間感染行動を続け、その後サーバをリブートし感染を停止
2001年 10月 1日以降は活動を停止
攻撃先スキャニング・パターン ランダムなIPアドレスを攻撃 感染した自ホストに近いIPアドレスを優先して攻撃
攻撃の記録 ログ上の連続する文字が「N」 ログ上の連続する文字が「X」
Web改ざん 一部Webが書き換えられることがある Webの書き換えは行わない
バックドアのインストール インストールしない インストールする

Code Red IIに関する情報Code Redに関する情報はこちら

概要

Code Red II ワームは Code Red ワーム同様、マイクロソフトの Internet Information Server (IIS) の脆弱性 (MS01-033) を利用するワームで、猛烈な勢いで感染します。 

影響を受けるマシン (Code Red、Code Red II 共通)

検査方法

攻撃の記録

Code Red II ワームから感染を目的とする攻撃を受けると、IIS のログに以下のような URL が記録されます。 

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a

ただし、Code Red II ワームが感染に成功した場合はこのログは記録されません。

Web 改ざん

Code Red II ワームは Web 改ざんを行わず静かに感染します。

接続確立の確認

また、ワームが活動中の場合、攻撃先としてスキャンされた IP アドレスの WWW サービス(TCP/80) に対して接続を行っているので、'netstat -na' コマンドで確認できます。

バックドアのインストール

Code Red II ワームに感染した場合、改ざんされたバージョンの explorer.exe が

C:\explorer.exe
D:\explorer.exe

に作成される他、 IIS 仮想ディレクトリ scripts と msadc 上に CMD.EXE のコピーである root.exe の作成、 C:\ および D:\ へマップするIIS の仮想ディレクトリ c および d の作成、 システムレジストリの改ざん、 など広範囲に書替えが行われます。

Code Red II の感染の確認方法詳細

Code Red II の感染の確認方法について を参照してください。

対処

復旧方法

Code Red II ワームの場合、バックドアを仕掛けられるなど広範囲に改ざんが行われるため、 復旧には OS のクリーンインストールとフルバックアップからのリストアをお勧めします。

対処の詳細 (Code Red、Code Red II 共通)

ワームの詳細

Code Red II ワームは Code Red ワーム同様、Index Server ISAPI エクステンションの未チェックのバッファによる脆弱性 (MS01-033) を利用して、リモートのサーバーに自身のコードを送り込み、そこで実行させることで感染を広げてゆきます。 具体的には、Web サービス (tcp/80) に対して特殊な URL を指定した要求を発行することで、 リモートのサーバーがバッファーオーバーフローを引き起こし、 その URL に埋め込まれたプログラム (Code Red II ワーム) を実行(感染)してしまいます。

感染したサーバーは次のターゲットをランダムに生成した IP アドレスで決定し、 同じく特殊な URL による Web サービス要求を発行し感染を試みます。

この特殊な URL は一部のルータの動作を停止させるなど悪影響を与えることもあります。

新種の Code Red II ワームは 8/4 に発見されました。感染力が増強され、レジストリを書替え、バックドアをインストールするなど より悪質なものになっています。
このワームは感染後 24 - 48時間、感染行動を続け、その後、サーバーにバックドアを残したままリブートさせます。

Code Redに関する情報Code Red IIに関する情報はこちら

概要

Code Red ワームはマイクロソフト社の Internet Information Server (IIS) の脆弱性 (MS01-033) を利用するワームで、猛烈な勢いで感染します。 このワームは日付でその行動パターンを変化させます。

影響を受けるマシン (Code Red、Code Red II 共通)

検査方法

攻撃の記録

Code Red ワームから感染を目的とする攻撃を受けると、IIS のログに以下のような URL が記録されます。 

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a

ただし、Code Red ワームが感染に成功した場合はこのログは記録されません。

Web 改ざん

Code Red ワームに感染した場合、以下のメッセージに Web が書替えられることがあります。 

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

但し、これは実際に Web サーバー上のファイルを書替えるのではなく、HTTP 要求に対して、上記の HTML を返すようにメモリ上のプログラムを書替えているため、すべてのページが改ざんされたように見えます。

接続確立の確認

また、ワームが活動中の場合、ランダムな IP アドレスの WWW サービス(TCP/80) に対して接続を行っているので、'netstat -na' コマンドで確認できます。

対処

復旧方法

Code Red ワームに感染した場合の復旧は、脆弱性 MS01-033 の修正パッチを適用しリブートします。

対処の詳細 (Code Red、Code Red II 共通)

ワームの詳細

Code Red ワームは 7/13 に発見されましたが、その後、感染力を強化した亜種が発見されました。 実際、9 時間で 250,000 のサーバーが感染したという報告もあります。

Code Red ワームは、Index Server ISAPI エクステンションの未チェックのバッファによる脆弱性 (MS01-033) を利用して、リモートのサーバーに自身のコードを送り込み、そこで実行させることで感染を広げてゆきます。 具体的には、Web サービス (tcp/80) に対して特殊な URL を指定した要求を発行することで、 リモートのサーバーがバッファーオーバーフローを引き起こし、 その URL に埋め込まれたプログラム (Code Red ワーム) を実行(感染)してしまいます。

感染したサーバーは次のターゲットをランダムに生成した IP アドレスで決定し、 同じく特殊な URL による Web サービス要求を発行し感染を試みます。

この特殊な URL は一部のルータの動作を停止させるなど悪影響を与えることもあります。

Code Red ワームは日付によってその動作モードを変えます。

1日 - 19日 他のホストに感染する
20日 - 27日 whitehouse に DDoS 攻撃をする
28日- 月末 休眠する。

Code Red ワームの DDoS 攻撃モードでは、IP アドレス 198.137.240.91 のサーバーに 攻撃を仕掛けるようになっています。この IP アドレスは www.whitehouse.gov の IP アドレスでしたが、Code Red ワームの被害を回避するため現在は 変更されています。

影響を受けるマシン (Code Red、Code Red II 共通)

対処の詳細 (Code Red、Code Red II 共通)

マイクロソフトでは Code Red ワームとその変種のワームに関する情報提供を行っています。

今回の IIS の脆弱性に関しては以下を参照してください。
http://www.ipa.go.jp/security/ciadr/vul/200106iisidxsvr.htm

ルーター段階での対処 (Code Red、Code Red II 共通)

Cisco からは以下の情報が出ています。

YAMAHA からは以下の情報が出ています。(CodeRed対策: WWWサーバー機能の脆弱性について)
http://www.rtpro.yamaha.co.jp/

古河電工からは以下の情報が出ています。(CodeRedワームに関する対策について)
http://www.furukawa.co.jp/fitelnet/topic/codered.html

アライドテレシスからは以下の情報が出ています。(AR ルータにおける Code Red ワーム対策)
http://www.allied-telesis.co.jp/support/misc/codered.htm

NTT-ME MN128 に関しては以下の情報が出ています。(Code Red ワームについてのお知らせ )
http://www.ntt-me.co.jp/mn128/codered.html

参考情報 (Code Red、Code Red II 共通)

参考情報 (Code Red 関連)

参考情報 (Code Red II 関連)

脆弱性検査ツール (Code Red、Code Red II 共通)

これらのツールを使う場合には、各ベンダーが記述している「使用上の注意」をよく読み、 自己の責任において使用してください。

駆除ツール (Code Red II 関連)

このツールを使う場合には、各ベンダーが記述している「使用上の注意」をよく読み、 自己の責任において使用してください。
バックドアの性格上「別のツールによる改ざんがなされていないこと」までは確保されない点に注意する必要があります。

変更履歴

2001年 7月30日 掲載。
2001年 8月 3日 ツール情報追加。8月1日からの状況を追加。
2001年 8月 6日 Code Red II の情報を追加。対象マシンの追加。
2001年 8月 7日 ツール情報追加。
2001年 8月 8日 駆除ツールが有効でない場合があることの注意を追記。
2001年 8月 9日 Code Red ワームとCode Red II ワームの情報を分割。
2001年 8月10日 参考情報の項目を追加。脆弱性検査ツールと駆除ツールを分離。
2001年 8月16日 影響を受けるマシンの追加。ルーター段階での対処情報の追加。