[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[nikomat 23666] [alert] Nimda

To: nikomat@ml.asahi-net.or.jp
Subject: [nikomat 23666] [alert] Nimda
From: Shinsaku HIURA <shinsaku@sys.es.osaka-u.ac.jp>
Date: Wed, 19 Sep 2001 17:55:56 +0900
Reply-To: nikomat@ml.asahi-net.or.jp
Sender: owner-nikomat@ml.asahi-net.or.jp
日浦です．

通常このＭＬでは，ウィルス・ワーム情報などは流しませんが，
今度のやつ "Nimda" はかなり蔓延すると思われます，万一このＭＬで流れますと，
ＭＬメンバーに甚大な被害が予想されますので，ご連絡いたします．

私が学科内に流したメールがありますので，以下を御覧ください．
（私の理解の範囲で書いていますので，正確なところは，Authorize された
　情報源を参照してください．）

-------------------------------------------------------------------------------

日浦です．

昨日から，新種のワームが広がりを見せています．
非常に強力ですので，Windows ユーザは以下について確認ください．

これまでに蔓延したことのあるウィルス・ワームの仕組みを集大成したような，
多数の感染方法を持っています．（今回は Mac, Linux 環境等は基本的には安全です）

○概要

　http://www.watch.impress.co.jp/internet/www/article/2001/0919/nimda2.htm
　http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
　http://www.cert.org/advisories/CA-2001-26.html [英語]
　を参照のこと．

　1.ワームを含むメールを閲覧しただけで感染する
　　　　添付ファイルを実行せずとも，メールを選択して画面に内容が
　　　表示された瞬間に感染することが出来ます．
　　　（メールが届いた段階で，そのメールがプレビューとして表示される場合は，
　　　　それだけでも感染します）

　2.特定のＷＷＷサイトを閲覧すると感染する．
　　　　上と同様のウィルスデータが，ＷＷＷ上で提供されている場合も，
　　　同様に感染します．

　3.自己複製する
　　　　Windows のファイル共有を利用して，近くのコンピュータに感染します．
　　　また自分のマシンのファイル共有をオープンにします．
　　　そのマシンから書き込める全てのディレクトリにワームデータを置き，
　　　また HTML ファイルを改ざんします．

　4.ＷＷＷサーバを攻撃する
　　　　先日流行した CodeRed と同様に，Windows IIS の脆弱性を利用した
　　　感染を試みます（結果として上の 2. の問題を引き起こします）
　　　また CodeRed II によってしかけられたバックドアも利用します．
　　　またこの乗っ取られたＷＷＷサーバ自身も，外部に対して攻撃します．

○対策

　1. Internet Explorer にパッチを当てる
     * Microsoft Internet Explorer 5.01
     * Microsoft Internet Explorer 5.5
　　の利用者は，修正してください．（Windows 2000, Windows Me 等にデフォルトで
　　含まれます．パッチを当ててください．）
　　http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020

　2. Microsoft IIS にパッチを当てる
　　　これは，先日対策した CodeRed が感染するソフトウェアです．
　　　Windows NT4, 2000 等に関連し，95/98/Me は関係ありません．
　　　[注意] 先日の CodeRed の時とは別の脆弱性ですので，新たにパッチを
　　　　　　　当てる必要があります
　　http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078

○補足

　・Netscape の利用者へ
　　日ごろ Netscape 等を利用している人でも，Internet Exproler を完全に削除して
　　いないのであれば，その残存している IE 
のバージョンを確認，対策してください．
　　HTML 
形式のメールが届いたとき，メールソフトの画面内で，様々な字体や写真等が入った
　　メールが表示出来るようになっていますが，この表示の処理をしている最中に感 
染します．
　　この表示の処理に，メールソフトが内部的に IE を利用していることが多いため，
　　IE を明示的に起動しなくても感染の可能性があります．

　　＃上記 IMPRESS の記事では，Outlook 
系でなければ，メール経由での感染の可能性は
　　＃低いように書いていますが，例えば Eudora などでも，html 
形式のファイルは Outlook
　　＃の力を借りて画面を表示する設定がありますので，危険性はあると思います．
　　＃アドレス帳を読み出されて，メール頒布に使われる可能性は低いです．
　　＃（しかし Eudora でも，MAPI を ON にしていたらだめかもしれない）

　・共有フォルダの設定を確認
　　ゲストアカウントで，誰でもファイルが置けるフォルダを作っている人は，そこに
　　ワームを入れられる可能性がありますので注意してください．

　・Outlook Experss 利用者へ
　　上記概要の 2. のように，WWW 
を閲覧したとき，ファイルがダウンロードされます．
　　このファイルは Outlook Express で開くことが出来るファイル（.EML）になって
　　いますので，Outlook Express 
がインストールされている（日常利用していなくても，
　　インストールされている：Windows 
には標準で付属しています）場合は，注意してください．
　　ファイル拡張子が .eml になっている添付ファイル，ダウンロードデータは絶対に
　　開かないようにしてください．
　　また，一旦感染すると，Outlook 
のアドレス帳を読み出して，そのあて先にウィルスを
　　大量送信してしまいます．

　・Firewall はあまり役に立ちません．
　　通常のメール送信，ＵＲＬ送信を利用するため．

　・Linux により提供される WWW コンテンツは安全か？
　　当研究室は，WWW サーバは Linux にしていますが，各個人の home directory を
　　samba 経由で Windows マシンから参照できるようにしているので，個人の Windows
　　マシンが感染すると，当研究室の WWW 
サーバが感染源になる可能性があると思います．
　　つまり，apache 等の Linux WWW サーバは，上記 4. による攻撃で感染することは
　　ありませんが，1. 2. と 3. 
のあわせ技で，ワーム頒布サイトになる可能性があるかも
　　しれません．


----
　日浦 慎作  Shinsaku HIURA
　大阪大学大学院　基礎工学研究科
　システム人間系専攻　システム科学分野
　〒560-8531 豊中市待兼山町 1-3
　TEL:06-6850-6372  FAX:06-6850-6341
　http://www-inolab.sys.es.osaka-u.ac.jp/users/shinsaku
Follow-Ups:
- [nikomat 23668] Re: [alert] Nimda
  - From: Shoji Okoshi <shoji-o@gd5.so-net.ne.jp>
Prev by Date: [nikomat 23665] Re: Camera lucida (Zeiss Jena)
Next by Date: [nikomat 23667] Re: D1 Low price..
Prev by thread: [nikomat 23658] Re:D1 Low price..
Next by thread: [nikomat 23668] Re: [alert] Nimda
Index(es):
- Date
- Thread