Information-technology Promotion Agency, Japan
本文へ
 IPA

トップ|電子申請|お問い合わせ|サイトマップ
独立行政法人 情報処理推進機構






セキュリティセンター 誰もが「安心」してコンピュータを利用できる環境を構築するために、情報セキュリティ対策の強化・整備を推進します。







English



緊急対策情報



届出


届出ウイルス一覧




ウイルスの届出




不正アクセスの届出




脆弱性関連情報の届出





情報セキュリティ対策


ウイルス対策




新種ウイルス情報




不正アクセス対策




脆弱性関連情報の取扱い




読者層別 対策実践情報





暗号技術


CRYPTREC





セキュリティ評価・認証


JISEC





セミナー・イベント



資料・報告書等


調査・研究報告書




開発成果紹介




セキュリティ関連RFC




PKI関連技術情報





公募



IPA/ISEC PGP公開鍵



サポート情報


ウイルスデータベース




用語集




FAQ(よくある質問)




セキュリティ関連リンク





IPAセキュリティセンターについて




IPAトップ>セキュリティセンター>ウイルス対策>記事


新種ウイルス「W32/Nimda」に関する情報


最終更新日:2002年 1月 8日
更新履歴



※追記すべき情報がある場合には、その都度このページを更新する予定です。


「W32/Nimda」ウイルスの亜種に関する情報

「W32/Nimda」の亜種に関する相談・届出が寄せられています。

オリジナルとの主な相違点(( )内は、オリジナルのファイル名)
・作成されるファイル名:Csrss.exe(Mmc.exe)
                            Httpodbc.dll(Admin.dll)、
・添付ファイル名:Sample.exe(Readme.exe)

このウイルスは、10月29日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。
各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

ワクチンソフトに関する情報

下記のサイトにも情報が掲載されているので、参照して下さい。

http://www.sophos.co.jp/virusinfo/analyses/w32nimdad.html
http://www.f-secure.co.jp/v-descs/v-descs2/nimda_e.htm

http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda.a@MM
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.e%40mm.html
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_NIMDA.E



2001年 9月19日(掲載)
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)



新種ウイルス「W32/Nimda」のIPA/ISECへの届出件数は、9月26日16:30 現在までで294件、内実害件数は189件(64.3%)となっています。

このウイルスは、改ざんされたホームページを見ただけで感染する可能性がありますので注意が必要です。また、更にメール機能を悪用して readme.exe という名称の添付ファイルを送信し、そのウイルス付メールを受け取ると、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでも感染します。

このウイルスは、9月18日に出現しているので、それ以降にワクチンソフトの定義ファイルを更新していなければ発見できません。早急に各ワクチンベンダーの webサイトを参照して、最新のウイルス定義ファイルに更新してください。

ワクチンソフトに関する情報

一般ユーザ向けW32/Nimdaに関するFAQ(2001.11.26更新)新着

サーバー管理者向けW32/Nimdaに関するFAQ

影響を受けるコンピュータ:
・マイクロソフト社の InternetExplorer と Outlook/OutlookExpress を使用している Windows パーソナルコンピュータ
・マイクロソフト社の IIS バージョン4、またはバージョン 5 を使用している webサーバー



概要

W32/Nimda は、複数のウイルス・不正アクセス手段を組み合わせており、クライアントとwebサーバーの両方に影響を与えます。感染の広がり方は、複数のコンピュータが関与するため複雑になっています。

公開webサーバーが感染した場合、サーバー上のHTML文書が、ウイルスをダウンロードするように改ざんされます。ブラウザによっては、自動的にそのウイルスを実行してしまいます。

また、共有フォルダに感染した .eml または .nws ファイルが存在する場合、そのファイルを開かなくても選択してサムネイル(縮小表示)が表示されるタイミングで感染することがあります。

更に、このウイルスが、メールまたはブラウザ経由でイントラネット内のクライアントに侵入した場合、脆弱性のある IIS web サーバーを発見すると感染活動を行います。イントラネット内の IIS web サーバーには、セキュリティ脆弱性を解消するパッチを当てていない場合が多いと想定されるので、これも感染を急速に広める要因のひとつとして考えられます。



予防策

一般ユーザ向け:
・ブラウザにパッチを適用する。:
    InternetExplorer 5.01の場合、SP2 を適用する。
    InternetExplorer 5.5  の場合、SP2 を適用する。
    (パッチの適用方法については、マイクロソフト社のサイトでご確認ください。:マイクロソフト社「ホームユーザー向け セキュリティ対策 早わかりガイド」のページ
    あるいは最新の InternetExplorer 6.0 をインストールする。
    (※必ず、Outlook Expressを含む標準構成以上でセットアップすること。)
・ワクチンソフトの定義ファイルを最新のものに更新する。
readme.exe という名称の添付ファイルを受け取った場合、絶対に開かない。
・Web サーバーより readme.exe という名称のファイルのダウンロードを促されても絶対にダウンロードしない。
InternetExplorer のセキュリティレベルを適切に設定する。(ファイルのダウンロードを「無効」にする)

サーバー管理者向け:
・IIS に累積的な修正プログラム (MS01-044)を当てる。

参考:
マイクロソフト社のNimdaに関する情報
・その他、OutlookExpress のセキュリティレベルを制限つきサイトゾーンに上げることなども一般的な対策として有効です。



予想される感染経路

感染元

感染先

感染手段

クライアント

クライアント

・E-Mailの添付ファイル
・ネットワーク共有のファイル

Webサーバー

クライアント

・Webの閲覧時

クライアント

Webサーバー

・「Web サーバー フォルダへの侵入」の脆弱性(MS00-078)を利用した感染活動
・「不正なデコーディング操作によりIISでコマンドが実行」の脆弱性(MS01-026)を利用した感染活動
Code Red IIsadmind/IISが残したバックドア

参考:CERT Advisory CA-2001-26 Nimda Worm



修復に関する情報

ツールを使う場合には、各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。

トレンドマイクロ社:
http://www.trendmicro.co.jp/nimda/
日本ネットワークアソシエイツ社:
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
ソフォス株式会社:
http://www.sophos.co.jp/downloads/readswnm.txt
シマンテック社:
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.fix.html

※駆除ツール等で修復した後は、必ず最新のワクチンソフトで検査を行って、感染がなくなったことを確認してください。

下記サイトにも情報が掲載されているので、参照して下さい。

http://www.sophos.co.jp/virusinfo/analyses/w32nimdaa.html
http://www.f-secure.co.jp/v-descs/v-descs2/nimda.htm
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda.a@MM
http://www.symantec.co.jp/region/jp/sarcj/nimda.html
http://www.trendmicro.co.jp/nimda/

ウイルス対策のトップページこちらをご覧ください。



更新履歴

2001年 9月19日 掲載。
2001年 9月19日 届出件数の情報を追加。
2001年 9月19日 感染経路の情報を追加。
2001年 9月20日 修復に関する情報を追加。
2001年 9月20日 予防策・感染経路等に関する情報を追加。
2001年 9月20日 InternetExplorer 6.0 の記述を追記。
2001年 9月21日 届出件数の情報を更新
2001年 9月21日 届出件数の情報とFAQを追加。
2001年 9月25日 届出件数の情報、概要、修復に関する情報を更新。
                          InternetExplorer 6.0 のインストール上の注意事項を追加
2001年 9月26日 届出件数の情報を更新。
2001年10月31日 亜種に関する情報を追加。
2001年11月 9日 一般ユーザ向けW32/Nimdaに関するFAQを更新。
2001年11月26日 一般ユーザ向けW32/Nimdaに関するFAQを更新。

2002年 1月 8日 ワクチンベンダー情報へのリンク修正。




ご利用条件


Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2004