HOME情報セキュリティ情報セキュリティ対策ウイルス対策新種ウイルス「W32/Nimda」に関する情報

本文を印刷する

情報セキュリティ

新種ウイルス「W32/Nimda」に関する情報

※追記すべき情報がある場合には、その都度このページを更新する予定です。

「W32/Nimda」ウイルスの亜種に関する情報

「W32/Nimda」の亜種に関する相談・届出が寄せられています。

オリジナルとの主な相違点(( )内は、オリジナルのファイル名)

  • 作成されるファイル名:Csrss.exe(Mmc.exe)
                                Httpodbc.dll(Admin.dll)、
  • 添付ファイル名:Sample.exe(Readme.exe)

このウイルスは、10月29日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。
各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

>> ワクチンソフトに関する情報

下記のサイトにも情報が掲載されているので、参照して下さい。


2001年 9月19日(掲載)
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

新種ウイルス「W32/Nimda」のIPA/ISECへの届出件数は、9月26日16:30 現在までで294件、内実害件数は189件(64.3%)となっています。

このウイルスは、改ざんされたホームページを見ただけで感染する可能性がありますので注意が必要です。また、更にメール機能を悪用して readme.exeという名称の添付ファイルを送信し、そのウイルス付メールを受け取ると、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでも感染します。

このウイルスは、9月18日に出現しているので、それ以降にワクチンソフトの定義ファイルを更新していなければ発見できません。早急に各ワクチンベンダーの webサイトを参照して、最新のウイルス定義ファイルに更新してください。

>> ワクチンソフトに関する情報

一般ユーザ向けW32/Nimdaに関するFAQ(2001.11.26更新)New

サーバー管理者向けW32/Nimdaに関するFAQ

影響を受けるコンピュータ:

  • マイクロソフト社の InternetExplorer と Outlook/OutlookExpress を使用している Windows パーソナルコンピュータ
  • マイクロソフト社の IIS バージョン4、またはバージョン 5 を使用している webサーバー

概要

W32/Nimda は、複数のウイルス・不正アクセス手段を組み合わせており、クライアントとwebサーバーの両方に影響を与えます。感染の広がり方は、複数のコンピュータが関与するため複雑になっています。

公開webサーバーが感染した場合、サーバー上のHTML文書が、ウイルスをダウンロードするように改ざんされます。ブラウザによっては、自動的にそのウイルスを実行してしまいます。

また、共有フォルダに感染した .eml または .nws ファイルが存在する場合、そのファイルを開かなくても選択してサムネイル(縮小表示)が表示されるタイミングで感染することがあります。

更に、このウイルスが、メールまたはブラウザ経由でイントラネット内のクライアントに侵入した場合、脆弱性のある IIS web サーバーを発見すると感染活動を行います。イントラネット内のIIS web サーバーには、セキュリティ脆弱性を解消するパッチを当てていない場合が多いと想定されるので、これも感染を急速に広める要因のひとつとして考えられます。

予防策

予想される感染経路

感染元 感染先 感染手段
クライアント クライアント
  • E-Mailの添付ファイル
  • ネットワーク共有のファイル
Webサーバー クライアント
  • Webの閲覧時
クライアント Webサーバー
  • 「Web サーバー フォルダへの侵入」の脆弱性(MS00-078)を利用した感染活動
  • 「不正なデコーディング操作によりIISでコマンドが実行」の脆弱性(MS01-026)を利用した感染活動
  • Code Red IIsadmind/IISが残したバックドア

参考:CERT Advisory CA-2001-26 Nimda Worm

修復に関する情報

ツールを使う場合には、各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。

※駆除ツール等で修復した後は、必ず最新のワクチンソフトで検査を行って、感染がなくなったことを確認してください。

下記サイトにも情報が掲載されているので、参照して下さい。

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2001年 9月19日 掲載。
2001年 9月19日 届出件数の情報を追加。
2001年 9月19日 感染経路の情報を追加。
2001年 9月20日 修復に関する情報を追加。
2001年 9月20日 予防策・感染経路等に関する情報を追加。
2001年 9月20日 InternetExplorer 6.0 の記述を追記。
2001年 9月21日 届出件数の情報を更新
2001年 9月21日 届出件数の情報とFAQを追加。
2001年 9月25日 届出件数の情報、概要、修復に関する情報を更新。
InternetExplorer 6.0 のインストール上の注意事項を追加
2001年 9月26日 届出件数の情報を更新。
2001年10月31日 亜種に関する情報を追加。
2001年11月 9日 一般ユーザ向けW32/Nimdaに関するFAQを更新。
2001年11月26日 一般ユーザ向けW32/Nimdaに関するFAQを更新。
2002年 1月 8日 ワクチンベンダー情報へのリンク修正。