• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. CodeRed Worm
  4. CodeRed Worm
  • ブックマーク

CodeRed Worm

危険度2: 低

発見日:
2001 年 7 月 16 日
更新日:
2007 年 2 月 13 日 11:37:00 AM
別名:
W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm
種別:
Worm
感染サイズ:
3569
影響を受けるシステム:
Microsoft IIS
CVE 識別番号:
CVE-2001-0500 CVE-2001-0506

2003年6月13日(米国時間)、Symantec Security Response は、CodeRed Worm の危険度を 3 から 2 に引き下げました。

CodeRed Worm Update: August 10, 2001 (9:00 AM Pacific):
Symantec Security Response ではお使いのコンピュータ上の脆弱性の評定と CodeRed ワームと
CodeRed II を駆除するツールを作成しました。CodeRed 駆除ツールを入手するには、ここをクリック してください。

CodeRed Worm Update: August 5, 2001 (12:00 AM Pacific):

CodeRedの変種はCodeRed II として検出します。CodeRed II に関する詳しい情報は
こちら をクリックしてください。

CodeRed Worm Update: July 31, 2001 (1:00 PM Pacific):

CodeRed ワームは、無限スリープに入るというロジックのため、このワームによる感染拡大は 2001年 7月 28日時点で停止していました。推測に拠るところが大きいと思われますが、このワームは 2001年 8月 1日に再び覚醒し活動を再開することが危惧されています。Symantec Security Response の分析によれば、既に感染していたマシン内のワームが、再感染によって再び覚醒することはないようです。ワームが再びインターネットに注入された場合でも、その影響を受けるのは、Web サーバ上にセキュリティホールが残っているマシンのみです。以前このワームに感染していたマシンでも、修正パッチが適用されていない場合は再び感染するおそれがあります。Symantec Security Response では、IIS 4.0 または 5.0 のユーザに対し、マイクロソフトが配布している修正パッチを 2001年 8月 1日までに適用するようお勧めしています。Symantec Security Response では引き続きインターネット上での CodeRed の活動を監視し、最新情報を随時お知らせする予定です。

CodeRed Worm は、IIS 4.0 または 5.0 Web Serverが動作している Windows NT 4.0 または Windows 2000 システム上の Microsoft Index Server 2.0 および Windows 2000 Indexing service に感染します。このワームは、Idq.dll ファイルに含まれるバッファ・オーバーフローと呼ばれる既知の脆弱性を利用します。この脆弱性に関する情報とマイクロソフトの修正プログラムについては下記の Web サイトをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/MS01-033.asp (日本語)
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp (英語)

現時点でリリースされている4つの修正プログラムを含む累積的な修正プログラム

http://www.microsoft.com/japan/technet/security/bulletin/MS01-044.asp (日本語)
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp (英語)

※マイクロソフト社によるCodeRedに関する専用日本語ページ

http://www.microsoft.com/japan/technet/security/codealrt.asp

システム管理者の方は、このワームや他の不正アクセスの防止策としてマイクロソフトの修正プログラムを適用することをお勧めします。

このワームに感染しているかどうかやセキュリティホールとなっている脆弱性の存在をチェックする方法、あるいは、Symantec Enterprise Firewall をご使用のお客様は、後述の「
追加情報」をご覧ください。

シマンテックのテクノロジーを使って.CodeRed に対処する方法については、
こちら (英語) をクリックしてください。



シマンテックでは、前述のワームおよび脆弱性をチェックするための幾つかのツールをオプションで提供しています。

個人のお客様:

  • Symantec Security Check は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。オンラインスキャンを今すぐ開始するには こちら をクリックしてください。
  • "FixCodeRed Assessment Tool"(英語版) は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。ご使用のコンピュータ上に前述のセキュリティホールが見つかった場合、このツールはメモリをスキャンしてワームが存在するかどうかを調べます。このツールをコンピュータにダウンロードするには、こちら をクリックしてください。
  • Norton Internet Security は、シマンテックの総合セキュリティ、プライバシー保護スイート製品で、IIS サーバから送信される不審なデータトラフィックを遮断する規則が新たに追加されました。現在Norton Internet Security をご使用のお客様は、LiveUpdate を実行することで、この新しい規則を適用できます。

企業・法人のお客様 :
  • Symantec Security Check は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。オンラインスキャンを今すぐ開始するには こちら をクリックしてください。
  • "FixCodeRed Assessment Tool"(英語版) は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。ご使用のコンピュータ上に前述のセキュリティホールが見つかった場合、このツールはメモリをスキャンしてワームが存在するかどうかを調べます。このツールをコンピュータにダウンロードするには、こちら をクリックしてください。
  • Enterprise Security Manager (ESM) は、ESMパッチ モジュールを通じてセキュリティ パッチの更新を管理するセキュリティポリシー準拠・セキュリティホール管理システムです。Symantec Security Responseでは、Windows NT 4.0 と Windows 2000 における前述のセキュリティホールを検出する 2 つのパッチテンプレートを配布しています。これらのテンプレートを入手するには、q300972.zip をダウンロードし、その後、ESM Managerの/esm/template フォルダにテンプレートを抽出してください。
  • NetProwler は、シマンテックのネットワークベースの侵入検知ツールです。セキュリティ アップデート 8 がインストールされている場合、NetProwler は IIS 4.0 または 5.0 への前述のセキュリティホールを使った攻撃を検出します。NetProwler SU 8 は自動更新機能を実行することでダウンロードできます。
  • Symantec Enterprise Firewall は、シマンテックのアプリケーション ファイアウォールです。本製品は標準で、IIS のような Web サーバから送信される不審なデータ トラフィックを遮断します。ファイアウォールのサービスネットワーク上で動作している場合、前述のワームや、他のタイプの攻撃の拡大を防ぎます。これらの標準設定の詳細については、後述の「Symantec Enterprise Firewall 追加情報」をご覧ください。
  • NetRecon は、シマンテックのネットワーク セキュリティホール査定ツールで、前述のセキュリティホールも検知可能になるよう更新されました。このツールは Microsoft IIS Index Service をチェックし、IIS Server がこのリスクにさらされている場合はその旨を通知します。詳細については、こちら (英語)をクリックしてください。

Code Red ワームはメモリ上でのみ動作し、ハードドライブに直接データを書き込むことはないため、C:\Notworm など特定のファイルを探したり、外見が変更されたように見える Web ページの HTML ファイルを確認したりする方法では、感染しているかどうかを正確に判断することはできないことに注意してください。詳細は、前述の「テクニカルノート」セクションをご覧ください。また、ログファイル内でワームの跡を探しても確実性に欠けます。これは、コンピュータに修正プログラムを適用していた場合でも、ログファイルには過去に受けた攻撃のログエントリが残っている可能性があるためです。このように確実性に欠ける検出方法に頼るのではなく、マイクロソフト社から配布されている修正プログラムを適用することを強くお勧めします。

CodeRed ワームは、HTTP リクエストを使って感染を拡大します。このワームのコードはバッファ・オーバーフローと呼ばれる既知のセキュリティホールを攻撃することで、ワームが感染先のコンピュータで実行できるようにします。このワームのコードはファイルとして保存されるのではなく、メモリに挿入され、メモリ上から直接実行されます。マイクロソフトの修正プログラムを適用し、その後、コンピュータを再起動することで、このワームおよび感染の拡大を未然に防ぐことができます。

このワームは新たな標的となるコンピュータを探すだけでなく、DoS (サービス拒否)攻撃を試みる可能性があります。また、このワームは多数のスレッドを作成し、結果的にシステムを不安定にします。

最後に、修正プログラムが適用されていないシスコ製品およびポート80で受信待機する他のサービス(ヒューレット・パッカードの JetDirect カードなど)もこのワームの攻撃に遭ったり、ポートスキャンの結果 DoS (サービス拒否)攻撃が行われる可能性があります。


Symantec Enterprise Firewall 追加情報


Symantec Enterprise Firewall、VelociRaptor Firewall アプライアンス、 Symantec Raptor Firewall は、「標準プロテクト」のセキュリティ設定、第三世代アプリケーション検査技術、オートマティック継続システム ハードニングなどを装備して、ご使用のネットワークをファイアウォールで確実に守るセキュリティ対策製品です。CodeRed ワームの場合、ここでも「標準プロテクト」のアプローチが最近の CodeRed ワームの感染拡大防止に役立つという点で、ユーザの皆様およびインターネット コミュニティのセキュリティ保護に大きく寄与します。これらのファイアウォール製品のいずれかを、公開 Web サーバを外部の攻撃から防御できる場所にインストールしておけば、標準設定のまま、このワームの感染拡大を自動的に防止することができます。念のため、設定画面をダブルクリックし、サービス ネットワーク上の Web サーバが外部に Web リクエストを送信することを許可する規則が何も追加されていないことを確認することをお勧めします。このような規則の追加は一般的ではなく、ご使用の Symantec ゲートウェイ ファイアウォール製品に変更を行う必要は一切ありません。

公開 Web サーバをファイアウォールの「内側」のネットワーク上に置いている場合は、ご使用の Web サーバ全てに対し、Web リクエストを外部へ送信することを禁止する規則を追加することをお勧めします。通常、Web サーバは外部から Web リクエストを受けつける必要はありますが、外部へ Web リクエストを送信する必要が生じることはないため、日々の運用に支障をきたすことはありません。上記のような変更を行えば、ネットワーク全体のセキュリティ強化になり、CodeRed ワームの感染防止にも役立ちます。さらに、ネットワークの構成と Web サーバの展開を再チェックすることをお勧めします。最大限のプロテクションを得るためには、さらに、一般ユーザがアクセス可能なサーバすべてを内部ネットワークではなく、ファイアウォールのサービスネットワーク上に配置することをお勧めします。

さらに詳細な情報は、ドキュメント"
シマンテック・エンタープライズ・セキュリティ・ソリューション、Microsoft Windows Index Server ISAPI エクステンションの System レベルでのリモートアクセスによって起こされるバッファオーバーフロー問題に対応"をご覧ください。

ご使用のサーバに修正プログラムが適用済みかどうかを判断できるよう、マイクロソフト社から IIS 5.0 Hotfix Checking Tool が配布されています。このツールは下記のサイトから入手できます。

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168 (英語)

影響を受ける製品に関するシスコ社の助言は下記のサイトでご覧いただけます。

http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml (英語)

ウイルス対策日

  • Rapid Release 初回バージョン2001 年 7 月 17 日
  • Rapid Release 最新バージョン2010 年 9 月 28 日 リビジョン054
  • Daily Certified 初回バージョン2001 年 7 月 17 日
  • Daily Certified 最新バージョン2010 年 9 月 28 日 リビジョン036
  • Weekly Certified 初回リリース日保留
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。
記述:Eric Chien
危険性の評価| テクニカルノート| 駆除方法
スパムレポート