• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. W32.Nimda.A@mm
  4. W32.Nimda.A@mm
  • ブックマーク

W32.Nimda.A@mm

危険度2: 低

発見日:
2001 年 9 月 18 日
更新日:
2007 年 2 月 13 日 11:37:30 AM
別名:
W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ
種別:
Worm, Virus
感染サイズ:
57,344バイト
影響を受けるシステム:
Microsoft IIS, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 識別番号:
CVE-2000-0884 CVE-2001-0154

注意:報告件数が減少したため、Symantec Security Responseは2003年1月15日付でW32.Nimda.A@mmの危険度を4から2に変更しました。

現時点では、W32.Nimda.A@mmの大量メール送信ルーチンが初回感染後10日間の潜伏期間を経て再び活性化したことによる顕著な感染拡大は確認されていません。

W32.Nimda.A@mmは、多数の感染方法を持つ新しい大量メール送信型ワームです。Nimdaという名称は、管理者権限を逆手にとることに由来しています(スペルが管理者を意味する"admin"の逆)。ワームは電子メールで自分自身を送り、有効なネットワーク共有を捜して、修正プログラムが適用されていないMicrosoft IIS Web サーバにワーム自身をコピーしようと試みます。また、ローカルドライブ上とリモートネットワーク上の両方でファイルに感染するウイルスでもあります。

このワームはUnicode Web Traversal Web (Web サーバーフォルダへの侵入)と呼ばれるセキュリティホールを使ってこれを行います。Windows NT 4.0 SP 5/6a またはWindows 2000 Gold/SP 1に対する修正プログラムと情報は下記のページをご覧下さい。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS00-078.asp

メールとしてワームが届いた場合、ユーザがそのファイルを読むかプレビューするだけでワームはMIMEの脆弱性を使ってウイルスを実行します。この脆弱性と修正プログラムについてはこちらをご覧ください。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS01-020.asp

危険にさらされた Web サーバを訪問しているユーザは、ワームが添付ファイルとして含まれている.EML (Outlook Express)電子メールファイルをダウンロードするよう促されます。この.EMLは前述のMIMEの脆弱性を攻撃します。その場合、インターネットゾーンのセキュリティ設定で[ファイルのダウンロード]を無効にすることで感染を避けることができます。

また、ワームは感染したコンピュータ上のネットワーク共有を有効にすることで、ハッカーがそのシステムにアクセスできるようにします。この処理が行われている間、ワームは管理者権限を持つゲストアカウントを作成します。

駆除ツール

Symantec Security Responseは、 W32.Nimda.A@mm感染によるリスクインパクトを駆除するツールを開発しました。駆除ツールをダウンロードするには、
こちらをクリックしてください。

ウイルス定義

このワームに対応するウイルス定義は、LiveUpdateを実行するか、あるいは、Symantec Security Responseの
ダウンロードサイトからダウンロード可能です。

シマンテック ソリューション

シマンテックでは、W32.Nimda.A@mmからシステムを防御・保護する各種ソリューション製品をそろえています。 W32.Nimda.A@mmおよび類似の"複合型リスク'に対する対処方法および推奨製品の概要については、
こちらをクリックしてください。


Macintoshユーザの皆様へ:

このワームがMacintoshコンピュータに感染することはありませんが、電子メールを介してWindowsコンピュータに感染する経路として使用される可能性があります。また、Windowsコンピュータとネットワークを共有している場合、ネットワークを通じてMacintoshコンピュータのハードドライブにワームファイルが作成される可能性があります。詳しくは、ドキュメント"
Are Macintoshes affected by the Nimda virus?"(英語)をご覧ください。

Novellサーバのユーザの皆様へ:

Novellサーバは直接攻撃されることはありませんが、Windows環境下で動作しているNovellクライアントに接続している場合、ワームはそのNovellクライアントからNovellサーバにアクセスして、そこから(ログインスクリプトまたはその他の手段を使って)ウイルスファイルを実行することによって、ウイルス感染をさらに広げる可能性があります。

備考:
マイクロソフトは、NT 4.0 SP5以上で動作するIIS 4.0用の累積的な修正プログラムおよびIIS 5.0用に最近リリースされたすべての修正プログラムを下記のページで配布しています。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS01-044.asp

また、このウイルスに関する情報はマイクロソフトの下記のWebサイトで提供されています。

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

ウイルス対策日

  • Rapid Release 初回バージョン2001 年 9 月 18 日
  • Rapid Release 最新バージョン2012 年 3 月 5 日 リビジョン036
  • Daily Certified 初回バージョン2001 年 9 月 18 日
  • Daily Certified 最新バージョン2012 年 3 月 6 日 リビジョン003
  • Weekly Certified 初回リリース日2001 年 9 月 18 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

危険性の評価

被害状況

  • 被害レベル:Low
  • 感染台数:More than 1000
  • 感染報告数:More than 10
  • 地域危険度:Medium
  • 対処レベル:Moderate
  • 駆除:Moderate

ダメージ

  • ダメージレベル:Medium
  • 大量メール送信:MAPIを使って自分自身をREADME.EXEとして送信する(Readme.exeは、添付ファイルとしては表示されない可能性がある)
  • ファイル削除:多数の正当なファイルをそれ自身で置き換える
  • パフォーマンスの低下:システムをスローダウンさせる
  • 不正アクセス:Cドライブをネットワーク共有する

感染力

  • 感染力レベル:High
  • 添付ファイル:README.EXE (電子メールの受信時、このファイルは添付ファイルとしては表示されない可能性がある。)
  • 添付ファイルのサイズ:57344バイト
  • ポート:69
  • 共有ドライブ:ネットワーク共有をオープンする
  • 感染対象:修正プログラムが適用されていないIISサーバに感染を試みる
記述:Eric Chien
危険性の評価| テクニカルノート| 駆除方法
スパムレポート