トレンドマイクロ、NIMDAの詳細を明らかに

2001/9/22

 トレンドマイクロは9月21日、世界中に蔓延しているワーム/ウイルス「NIMDA(ニムダ)」の急激な感染拡大を受けて、企業の情報システム管理担当者を対象とした「NIMDAウイルス緊急対策セミナー」を開催した。

 NIMDAは2001年9月18日に発生したが、翌日には世界中に広がり猛威を振るっている。このウイルスは、発見当初はトロイの木馬型ウイルスであるとの見方もあったが、実際はMatrix(マトリックス)、SirCam(サーカム)などのウイルスの特徴を兼ね備えた複合型で、同社によれば21日17時時点で、すでに47万件以上感染しているという。

 NIMDAの主な感染経路は4つ考えられる。IISのセキュリティホールを利用した侵入、ファイルのコピーによる侵入、Internet Explorer(IE 5.01/5.5 SP1)のセキュリティホールを利用した(IE4.0/6.0、Netscape Navigatorなどでは問題はない)、メール送信で侵入する場合の4つだ。

 同ウイルスによる被害もさまざまで、インターネットや社内ネットワークへの多大なトラフィック、サーバなどのパフォーマンスの低下、CPUへの負荷の増大、Webコンテンツの改ざん、システムファイルの書き換えなどによるOSの破壊などが、可能性として挙げられている。

 IISサーバのセキュリティホールを利用した侵入では、ランダムなIPアドレスからIISサーバを検索する。IISを発見すると不正なHTTPリクエストを送り、IISのセキュリティホールを突いてウイルスをサーバにコピーして感染させる。また、HTML、HTM、ASPファイルにJavaScriptを埋め込み(Readme.eml)、他のPCからそのファイルをWebブラウザ(IE 5.01/5.5)で見ると、自動的にウイルスをダウンロードして感染してしまう(ダウンロードするファイル名はReadme.exe)。

 ファイルのコピーによる侵入は、NIMDAに感染したPCの全ドライブ、全フォルダにウイルス自体(Readme.eml)をコピーし(ネットワークドライブにもコピーする)、そのファイルを実行することで他のPCへ感染が拡大する。ファイルのコピーは、フォルダ内にある任意のファイルを上書きした後、Readme.eml、Readme.nws、*.emlまたは*.nwsなどの名前に変更する。そのため、このファイルを不用意に実行してしまうとウイルスが活動してしまうことになる。また、エクスプローラで書き換えられたファイルをクリックしてプレビュー表示しただけでもウイルスが実行され、感染が拡大する。さらに、次のレジストリに登録されているアプリケーションのプログラムファイルにもウイルスが感染することがあり、その場合はワクチンを使っても駆除できないことがある(次のキーは、実際には改行されていない)。

\HKEY_LOCAL\MACHINE\SOFTWARE\
  Microsoft\Windows\CurrentVersion\App Paths

 Internet Explorer(IE 5.01/5.5 SP1)のセキュリティホールを利用したメール送信での侵入は、NIMDAに感染するとウイルスがOutlookExpress/Outlookの受信トレイ、送信済みトレイよりメールアドレスを取得し、そのアドレスに自らSMTPでウイルスを送信する(送信履歴は残らない)。このメールをOutlookExpress/Outlookで受信した場合、メールをプレビューしただけで感染する。その他のメーラでは、添付ファイルのReadme.exeを実行すると感染する。

 このようにさまざまな感染経路を持つ「NIMDA」の対応策として、トレンドマイクロは、次の方法で感染拡大を防ぐことができるという。

  1. ウイルス対策ソフトの最新のパターンファイルを使ってウイルスチェックを行う。
  2. ウイルス対策ソフトがない場合は、ウイルス対策ベンダがWebサイト上に用意しているオンラインスキャンサービスを利用する。

 また、NIMDAを手動で駆除するには、次のようにすればよいという。

  1. マシンの共有設定を解除する。
  2. system.iniを修正する(修正前:Shell=explore.exe load.exe→修正後:Shell=explore.exe)。
  3. ウイルスファイルの削除(Admin.dll、MMC.exe、mep*.tmp.exe、mep*.tmp、load.exe、riched20.dll)。このうちriches20.dllファイルは、通常はワードパットで使用しているファイル。このファイルは、未感染時のバックアップからリストアする。
  4. Wininit.iniという名称のファイルが作成されていた場合、無条件で削除する。
  5. 添付されたReadme.exeなど不審なメールの削除をする。
  6. メールプレビューで感染しないように、OutlookExpressの設定で、「プレビューウインドウで表示するメッセージを自動的にダウンロードする」のチェックをはずす。
  7. IEのアップデートを行う。IE5.01/5.5がSP1までしか適用されていないとReadme.exeを実行してしまう。IE5.01と5.5はSP2を適用することで回避できるので、IISの修正モジュールをダウンロードして適用する。

[関連リンク]
トレンドマイクロ
マイクロソフトのNIMDAの関連情報
マイクロソフト TechNet セキュリティセンター

[関連記事]
全世界で猛威を振るうワーム、NIMDA (@ITNews)
Code Red、Sircamの被害がさらに拡大 (NewsInsight)
Code RedとSirCamで明らかになったウイルス対策の落とし穴 (@ITNews)
とりあえず小康状態のCode Red、IT管理者の取るべき対策は… (TechWeb/@ITNews)
“Homepage”ウイルスの被害が広まる (@ITNews)

 

情報をお寄せください:



最新記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
@IT