Nimda.E変種ワームが、異なるファイル名を伴って攻撃開始

概要：　複数の攻撃方法を持つNimdaワームの変形であるNimda.Eワームが登場。この変形型Nimda.EはNimda.D(１０月３０日付けID#106045)と共に１０月３０日にインターネット上で拡散している事が判明。このワームは電子メール及びネットワーク経由でパッチの充てられてい

国際海外情報

2001年11月1日（木） 12時00分

概要：
　複数の攻撃方法を持つNimdaワームの変形であるNimda.Eワームが登場。この変形型Nimda.EはNimda.D(１０月３０日付けID#106045)と共に１０月３０日にインターネット上で拡散している事が判明。このワームは電子メール及びネットワーク経由でパッチの充てられていないマイクロソフトのIIS(インターネット・インフォメーション・サービス)サーバーを攻撃して実行(.exe)ファイルに感染する。 NimdaはIISサーバー、アウト・ルック(OutLook)メールクライアント・ソフトウェアおよびマイクロソフト・インターネット・エクスプローラ(Internet Explorer)を上手く利用する複数のプログラムで構成されている。一旦Nimdaがホストに感染すると、下記の4種類の攻撃手法で拡散を試みる:

・感染したウェブサーバからのファイルの自動ダウンロード
・感染したコンピュータのアドレス帳のメールアドレスに多数の添付き電子メールを配信
・ローカルエリア・ネットワーク(LAN)接続のコンピュータに対し、共有サーバー・メッセージ・ブロック(SMB)を利用
・多数の脆弱性を持つIIS ウェブサーバーを走査

ワームは、自動解凍する圧縮ファイル形式の添付ファイルを伴って電子メールで到着する。メッセージの件名はブランク又は任意に選択された主題になっている。メールの中身は白紙の様に見える。

Subject (件名) : ランダム
Message（メッセージ）: ブランク
Attachment（添付） : sample.exe

　Nimdaは、インターネットを通じて様々なデータを送る為の拡張機能であるマイム（MIME/multipurpose Internet mail extension）の持つ脆弱性を利用してHTML形式の添付ファイルを実行させてしまう。(2001年3月30日付け ID#103197)つまり、プレビュー画面から感染する。アウトルック（Out Look）やアウトルックエクスプレス（Out Look Express）を使用していれば拡張ファイルは開かなくても感染する事になる。上記以外の電子メールソフトで同様の脆弱性を持たないソフトを使用している場合はSample.exeの添付ファイルを開かない限り、この経路での感染はしない。

　感染したウェブサーバに接続するとブラウザ経由で感染するように改造されたHTML形式のページから知らずに感染する。この悪意のあるコードが埋め込まれたHTMLコードはダウンロード後にMIMEのエンコードを使用してワームの実行ファイルをコピーする。感染したウェブページからやはりMIMEの持つ脆弱性を悪用して自動的に警告無しで電子メールの添付ファイルSample.exeを実行させてしまう。一旦ワームが覚醒すると先ず、感染したコンピュータがワームの実行する所定の動作を行えるか能力検証する。検証の結果、ワームの動作環境が整っていなければ、自らを削除する。動作環境が整っていればホストへの感染を始め、増殖する。NIMDAは自らのコピーをウインドウズ・システム・フォルダ内にload.exeというファイル名でインストールされる。複数のtempファイル(MEPxxxxx.TMP；xxxxxは任意の文字列)がウインドウズのテンポラリーディレクトリ内に作成される。さらに、riched20.dll(WordPadなどで使用されるリッチテキストフォーマットを管理するライブラリー)を書き換える。感染したコンピュータの再起動時にload.exeが実行されるようにsystem.iniファイルも修正が加えられる。

　ワームは、さらにローカルエリア・ネットワーク(LAN)上に接続されたコンピュータのSMB（サンバ）シェアを検索する。SMBを見つけると.docや.emlの拡張子の付いたディレクトリを再帰的に検索する。そこにriched20.dllをコピーし、OLE機能を必要としたファイルが実行されるのを待ち、実行されると実行したリモート側のコンピュータに感染していく仕組みになっている。更に感染したリモート側のコンピュータ内に感染力を持った.emlファイルや.nwsファイルをドキュメント名若しくはHTMLファイル名で埋め込んでいく。

　NimdaはアウトルックやアウトルックエクスプレスをサポートしているMAPI機能を利用し、感染したコンピュータ内のテンポラリー・インターネット・フォルダーおよびHTML文書の中を検索し新しいメールアドレスを見つける。ワームは独自のメール転送プロトコル(SMTP)エンジンを使い上記述のフォーマットを持つコンピュータへ増殖していく。

　その後Nimda.Eワームは任意に選択されたIPアドレスを走査しIISウェブサーバに感染を試みる。ワームは、良く知られているunicode web traversalを利用しIISサーバーを攻撃する。(2001年9月10日付けID#105444)パッチの充てられていないIIS4.0及び5.0のこの攻撃受け入れてしまい、変形されたURLからプログラムがサーバ上で作動する事を可能にする。この脆弱性をついた活動に成功すると次にTFTPを使ってウェブサーバにhttpodbc.dllとして自らをコピーする。このプログラムが作動するとウェブサーバが感染する。

　ウェブサーバ上でhttpodbc.dllが実行されると、ウインドウズ・フォルダーにcsrss.exeとしてコピーされる。ワームは次に、ローカル、リムーバブル、ネットワークドライブにそれぞれ感染出来るようにWINZIP32.EXE以外の.exeファイルを検索する。これらのファイルを感染させ、ワーム自らオリジナルファイルをコピーする。ファイル名が参照されるとワームが実行され、オリジナルアプリケーションを抽出し、実行された後、削除される。

　その後、NimdaHTM、HTMLおよびASPファイルを検索すると共に"DEFAULT（デフォルト）", "INDEX（インデックス）", "MAIN（メイン）", "README（リードミー）"のついているファイルをすべて検索する。 README.EMLは各ディレクトリにコピーされ次のようなJavaScriptが追加される:

　パッチの充てられていないマイクロソフト・インターネット・エクスプローラのウェブ・ブラウザを使用するとJavaScriptが開く。このウェブ・ブラウザで感染したファイルを見るとマイム(MIME)エンコードを含むREADME.EMLがダウンロードされる。

　Nimdaは、ワームのMIMEエンコードバージョンを任意に付けられたファイル名の後ろに拡張子.eml、.nwsを伴いハードディスク内の各ファイルにコピーしていく。最後にゲスト及び管理者グループにユーザゲストを書き加え、ゲストアカウントでcドライブのルートに対する完全なアクセス権限を付与させる。

別名:

TROJ_NIMDA.E, W32.Nimda.E@mm, W32/Nimda-E, W32/Nimda@MM, W32/Minda@MM, W32/Nimda.E@mm, W32.Nimda.D@mm

情報ソース:
Microsoft Corp. 　May 25, 2001
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
Microsoft Corp. 　Oct. 17, 2000
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
Symantec Corp. 　Sept. 19, 2001
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
F-Secure Corp.　Sept. 19, 2001
http://www.data-fellows.com/v-descs/nimda.shtml
Collake Software　Oct. 29, 2001
http://www.collakesoftware.com/pecompact.html
F-Secure Corp.　Oct. 29, 2001
http://www.data-fellows.com/v-descs/nimda_d.shtml
Symantec Corp.　Oct. 29, 2001
http://www.symantec.com/avcenter/venc/data/w32.nimda.e@mm.html

分析: (iDEFENSE米国)
　前回のNimdaと異なり、Nimda.EはPECompactユーティリティを使用して添付ファイルを圧縮させている。この攻撃方法は添付ファイルの容量が小さくなるので検知やリバースエンジニアリングが困難になる。他に目に付く異なる点はウェブサーバにワームのファイルが移り繁殖する際に付けられるファイル名である。また、Nimdaはハードディスクへのアクセスを可能にしており、ゲストアカウントで管理者並の権限を与え遠隔から感染したコンピュータの記憶装置の内容にアクセスできてしまう。この事によりファイルシステムなどに対する攻撃に対して脆弱になる。ワームがメールを開くだけで感染する為、見覚えの無い添付ファイルのついたメールで見知らぬ人や送信者が明記されていないメールは開けない事が重要である。このワームの繁殖などの特性上、感染したと思った場合は即座にヘルプデスク若しくはシステム管理者に報告相談するべきである。

検知方法:
　ファイルSample.exe、mepxxxxx.tmpあるいはhttpodbc.dllの存在は感染の兆候。実行可能なNimdaはテキスト・ストリングで"Copyright 2001 R.P.China."を含んでいる。

　さらに、次のレジストリ・エントリが作られているか改ざんされている(既に存在する場合):

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedH ideFileExt

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedH idden

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedS howSuperHidden

HKEY_CURRENT_USERSYSTEMCurrentControlSetServices
TcpipParametersInterfaces

　Nimdaはさらにファイル共有セキュリティを不能にする為、次のキー及びサブキーをすべて削除する。
HKEY_CURRENT_USERSYSTEMCurrentControlSet
ServiceslanmanserverSharesSecurity

（詳しくはScan本誌をご覧下さい）
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【16:11 GMT、10、30、2001】

《ScanNetSecurity》