新種ウイルス「W32/Nimda」に関する情報
最終更新日:2002年 1月 8日
更新履歴
※追記すべき情報がある場合には、その都度このページを更新する予定です。
「W32/Nimda」ウイルスの亜種に関する情報
「W32/Nimda」の亜種に関する相談・届出が寄せられています。
オリジナルとの主な相違点(( )内は、オリジナルのファイル名)
- 作成されるファイル名:Csrss.exe(Mmc.exe)
Httpodbc.dll(Admin.dll)、 - 添付ファイル名:Sample.exe(Readme.exe)
このウイルスは、10月29日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。
各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。
下記のサイトにも情報が掲載されているので、参照して下さい。
- http://www.sophos.co.jp/virusinfo/analyses/w32nimdad.html
- http://www.f-secure.co.jp/v-descs/v-descs2/nimda_e.htm
- http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda.a@MM
- http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.e%40mm.html
- http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_NIMDA.E
2001年 9月19日(掲載)
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
新種ウイルス「W32/Nimda」のIPA/ISECへの届出件数は、9月26日16:30 現在までで294件、内実害件数は189件(64.3%)となっています。
このウイルスは、改ざんされたホームページを見ただけで感染する可能性がありますので注意が必要です。また、更にメール機能を悪用して readme.exeという名称の添付ファイルを送信し、そのウイルス付メールを受け取ると、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでも感染します。
このウイルスは、9月18日に出現しているので、それ以降にワクチンソフトの定義ファイルを更新していなければ発見できません。早急に各ワクチンベンダーの webサイトを参照して、最新のウイルス定義ファイルに更新してください。
一般ユーザ向けW32/Nimdaに関するFAQ(2001.11.26更新)
影響を受けるコンピュータ:
- マイクロソフト社の InternetExplorer と Outlook/OutlookExpress を使用している Windows パーソナルコンピュータ
- マイクロソフト社の IIS バージョン4、またはバージョン 5 を使用している webサーバー
概要
W32/Nimda は、複数のウイルス・不正アクセス手段を組み合わせており、クライアントとwebサーバーの両方に影響を与えます。感染の広がり方は、複数のコンピュータが関与するため複雑になっています。
公開webサーバーが感染した場合、サーバー上のHTML文書が、ウイルスをダウンロードするように改ざんされます。ブラウザによっては、自動的にそのウイルスを実行してしまいます。
また、共有フォルダに感染した .eml または .nws ファイルが存在する場合、そのファイルを開かなくても選択してサムネイル(縮小表示)が表示されるタイミングで感染することがあります。
更に、このウイルスが、メールまたはブラウザ経由でイントラネット内のクライアントに侵入した場合、脆弱性のある IIS web サーバーを発見すると感染活動を行います。イントラネット内のIIS web サーバーには、セキュリティ脆弱性を解消するパッチを当てていない場合が多いと想定されるので、これも感染を急速に広める要因のひとつとして考えられます。
予防策
- 一般ユーザ向け:
- ブラウザにパッチを適用する。:
InternetExplorer 5.01の場合、SP2 を適用する。
InternetExplorer 5.5 の場合、SP2 を適用する。
(パッチの適用方法については、マイクロソフト社のサイトでご確認ください。:マイクロソフト社「ホームユーザー向け セキュリティ対策 早わかりガイド」のページ )
あるいは最新の InternetExplorer 6.0 をインストールする。
(※必ず、Outlook Expressを含む標準構成以上でセットアップすること。) - ワクチンソフトの定義ファイルを最新のものに更新する。
- readme.exe という名称の添付ファイルを受け取った場合、絶対に開かない。
- Web サーバーより readme.exe という名称のファイルのダウンロードを促されても絶対にダウンロードしない。
- InternetExplorer のセキュリティレベルを適切に設定する。(ファイルのダウンロードを「無効」にする)
- ブラウザにパッチを適用する。:
- サーバー管理者向け:
- IIS に累積的な修正プログラム (MS01-044)を当てる。
- 参考:
- マイクロソフト社のNimdaに関する情報
- その他、OutlookExpress のセキュリティレベルを制限つきサイトゾーンに上げることなども一般的な対策として有効です。
予想される感染経路
| 感染元 | 感染先 | 感染手段 |
|---|---|---|
| クライアント | クライアント |
|
| Webサーバー | クライアント |
|
| クライアント | Webサーバー |
|
修復に関する情報
ツールを使う場合には、各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。
- トレンドマイクロ社:
http://www.trendmicro.co.jp/nimda/ - 日本ネットワークアソシエイツ社:
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM - ソフォス株式会社:
http://www.sophos.co.jp/downloads/readswnm.txt - シマンテック社:
http://www.symantec.com/region/jp/sarcj/data/w/
w32.nimda.a@mm.fix.html
※駆除ツール等で修復した後は、必ず最新のワクチンソフトで検査を行って、感染がなくなったことを確認してください。
下記サイトにも情報が掲載されているので、参照して下さい。
- http://www.sophos.co.jp/virusinfo/analyses/w32nimdaa.html
- http://www.f-secure.co.jp/v-descs/v-descs2/nimda.htm
- http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda.a@MM
- http://www.symantec.co.jp/region/jp/sarcj/nimda.html
- http://www.trendmicro.co.jp/nimda/
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2001年 9月19日 | 掲載。 |
|---|---|
| 2001年 9月19日 | 届出件数の情報を追加。 |
| 2001年 9月19日 | 感染経路の情報を追加。 |
| 2001年 9月20日 | 修復に関する情報を追加。 |
| 2001年 9月20日 | 予防策・感染経路等に関する情報を追加。 |
| 2001年 9月20日 | InternetExplorer 6.0 の記述を追記。 |
| 2001年 9月21日 | 届出件数の情報を更新 |
| 2001年 9月21日 | 届出件数の情報とFAQを追加。 |
| 2001年 9月25日 | 届出件数の情報、概要、修復に関する情報を更新。 InternetExplorer 6.0 のインストール上の注意事項を追加 |
| 2001年 9月26日 | 届出件数の情報を更新。 |
| 2001年10月31日 | 亜種に関する情報を追加。 |
| 2001年11月 9日 | 一般ユーザ向けW32/Nimdaに関するFAQを更新。 |
| 2001年11月26日 | 一般ユーザ向けW32/Nimdaに関するFAQを更新。 |
| 2002年 1月 8日 | ワクチンベンダー情報へのリンク修正。 |