Nimdaワームは、複数の方法で繁殖〜Nimda Worm Propagates in Several Ways〜

iDEFENSE提供　情報発信日時　9/19/ 2001@12 :49:11GMT

製品・サービス・業界動向業界動向

2001年9月20日（木） 12時00分

iDEFENSE提供　情報発信日時　9/19/2001@12:49:11GMT

◇概要：
　Nimda.Aワームは、メール及びネットワーク接続を活用し、急速に広まっている。このワームは、Microsoft社 IISのパッチを当てていないバージョンを搭載するウェブサーバーに感染する。また、ワームがメールの添付ファイルとして送信されるケースもある。その場合、添付ファイルは通常 57,344バイトの実行ファイルとして送信され、メールの件名はブランク、またはランダムなものが表示される。メールの本文は一見ブランクにみえるが、メールを開くとワームをインストールする手順が含まれている。メールの特徴は、下記の通り：

　　件名：　ブランク
　　本文：　ランダムな内容
　　添付ファイル：　メールによって変化

　また、感染したウェブサーバーに接続すると、変形された HTMLページを、自身のウェブブラウザーを通して不注意にダウンロードしてしまう。この悪質なHTMLコードは、ワームの実行ファイルの MIMEコピーをダウンロードし実行する。感染されたウェブページを閲覧した場合、下記ディスプレイが表示される：

　ユーザーが "Yes"をクリックしようが、"No"をクリックしようが、MIMEエンコードされたバイナリーファイルは、README.EXEの実行ファイルが含まれる、README.EMLファイルをダウンロードし、実行しようとする。Readme.exeが実されると、ワームは自身のコピーを load.exeとして Windows のSystem folderにインストールする。また、WindowsのTemporary directoryに MEPxxxxxx.TMP （xxxxxxはランダムな文字及び数字の組み合わせ）という名称の一時ファイルを作成する。また、ワームは、WordPadのようなリッチ・エディット・テキストのフォーマッティングを使用するアプリケーションが利用する riched20.dllファイルを上書きしてしまう。また、感染したコンピューターが再起動する際、load.exeが実行されるよう、system.iniファイルも変更してしまう。
　Nimda.Aは Outlook及び Outlook Express内の MAPI機能を利用し、感染したコンピューターの受信トレイのメールを読み取り、新しいメールアドレスを探す。その後、ワームは自身が持つ簡単な SMTPエンジンを利用し、他のメールユーザーに自身のコピーを送信する。また、Nimda.Aはネットワーク接続を利用し、自身の感染を広めようと試みる。ワームは、有名な Unicode Web
Traversal という脆弱性を活用し、IISサーバーの感染を試みる。パッチを当てていない IIS 4.0/5.0のウェブサーバーは、変形した URLを送信することによって、サーバー上でプログラムを実行してしまうという攻撃手段を許す。この脆弱性が活用された場合、ワームは tftp (trivial file transfer
protocol)を利用して自身を ADMIN.DLLとしてウェブサーバーにコピーする。tftpは、特にセキュリティ機能を利用することなくファイルを転送してしまう。その後、ADMIN.DLLは実行され、ワームはウェブサーバーに感染する。

　ワームは、感染したサーバー内の HTM、HTML、及び ASPファイルを検索する。ワームによってこれらのファイルは変形され、その結果、変形ファイルをウェブブラウザーで閲覧したコンピューターに、MIMEエンコードされたワームのコピーがダウンロードされる。このダウンロードされたファイルは、上記のような Outlook Expressのメールファイルの形を取る。

　更に Nimda.Aは、感染したコンピューターのハードディスクの各フォルダに、MIMEエンコードされた自身のコピーを、readme.elmまたは .nws拡張子のファイルとしてインストールする。また、ワームはネットワーク接続を通し、他のコンピューターに自身のコピーをインストールすることを試みる。ワームは、感染したシステムのネットワーク共有をオープンし、他コンピューターにリモートアクセスを許可させる。ワームは、感染したシステムに MMC.EXEまたはランダムに選んだ正規の実行ファイルをコピーする。最後に、Guests and Administratorsのグループに "guest"という名称のユーザーを追加し、"guest"のアカウントに管理者権限を付与する。

別名： Code Rainbow, TROJ_NIMDA.A, W32.Nimda.A@mm, W32/Nimda-A,
W32/Nimda@MM, W32/Minda@MM, W32/Nimda.A@mm

◇情報ソース：
Symantec Corp.
( http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html ),
Sept. 18, 2001
Central Command
( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005 ),
Sept. 18, 2001Network Associate Inc./McAfee.com
( http://vil.nai.com/villib/dispvirus.asp?virus_k=99209 ),
Sept. 18, 2001
Microsoft Corp.
( http://www.microsoft.com/technet/security/bulletin/ms00-078.asp ),
Oct. 17, 2000
Microsoft Corp.
( http://www.microsoft.com/technet/security/bulletin/MS01-020.asp ),
May 25, 2001

▼分析：
　Nimda.Aは破壊的であり、インターネット上で急速に拡大している。ほとんどのアンチウイルスソフトメーカーは、Nimda.Aを「中」から「高」の脅威レベルと位置づけている。メールを開くだけでワームは感染するため、ユーザーは添付ファイルを含むメール（特に送信者がブランクのもの）を開かないことが重要である。

▼検知方法：
　readme.exe、MEPxxxxxx.TMP、及び admin.dllというファイルが存在している場合、感染の可能性がある。また、ワームには"Copyright 2001 R.P.China." というテキストが含まれる。

　リカバリー方法：最新のアンチウイルスソフトを利用して、Nimda.Aを検知・削除する。ワームを手動で取り除く場合、感染性の高い riched20.dll及び readme.exeファイル、またワームが作成する MEPxxxxxx.TMPファイルを発見し、削除する。あるいは、ワームを含んでいると思われる .emlファイルを削除する。また、テキスト・エディタを利用し、system.iniファイルから次のコマンドを消去する： shell=explorer.exe load.exe ?dontrunold

▼暫定処置：
　アンチウイルスソフトがない場合、Windows Hosting Script (WHS) を解除することによって、感染したメールが、Windows環境で実行することを阻止できるケースもある。WHSの解除方法は、下記の通り：

Windows 95 と Windows NTの場合：
1.「コントロールパネル」の「表示」から「オプション」を選択
2.「ファイルタイプ」のタブを選択し、表示画面から VBScript Fileを削除する3.ファイルタイプを削除しますか？の問合わせに対し、「はい」を選択

Windows 98の場合
1.「コントロールパネル」から「アプリケーションの追加と削除」を選択
2.「Windowsファイル」のタブから「アクセサリ」を選択
3.「アクセサリ」のウィンドウから「Windowsスクリプティングホスト」を選択し、チェックを解除4.「OK」を選択

Windows 2000の場合
1.「マイコンピューター」の「ツール」から「フォルダオプション」を選択2.「ファイルタイプ」のタブから「VBScript スクリプトファイル」を選択
3.「削除」を選択し、削除の確認をされたら「はい」を選択

（情報提供　iDEFENSE社： http://www.idefense.co.jp/）

《ScanNetSecurity》