インターネット・セキュリティ・ソリューションのリーダー、株式会社シマンテック(東京都渋谷区桜丘町20-1 渋谷インフォスタワー、代表取締役社長:成田明彦)は、米国で被害が急増し非常に感染力の強い新種ワーム「W32.Nimda.A@mm(ニムダ)」を発見、Symantec Security Response注1は同ワームを検知・駆除するウイルス定義ファイルを提供開始しました。
W32.Nimda.A@mmは、多数の感染方法を持つ新しい大量メール送信のワームで、CodeRedのように不特定のIPアドレスに対する攻撃とSircamのような電子メールの添付ファイル(ファイル名:readme.exe)としての増殖活動を行います。電子メールの場合、ワームはMIMEの脆弱性を利用するため、そのファイルを読むかプレビューするだけでワームが実行されます。
このMIMEの脆弱性と修正プログラムについてはこちらをご覧ください。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
このワームは実行されると、有効なネットワーク共有を探して、Unicode Web Traversal と呼ばれるセキュリティホールの修正プログラム(セキュリティパッチ)が適用されていないMicrosoft IIS Web サーバに自分自身をコピー(感染)しようと試みます。
このセキュリティホールに対する修正プログラムと情報は下記のページをご覧下さい。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078
感染した Web サーバを訪問しているユーザは、.EML (Outlook Express)電子メールファイルをダウンロードするよう促されます。そしてそれは添付ファイルとしてワームを含んでいます。
また、ワームはシステムへのアクセスを許可するためにネットワーク共有を有効にします。これにより感染したシステムは無防備な状態となります。
さらにこのワームはIISサーバをインストールしていないマシンであっても、感染後はワーム自身が持つSMTPエンジンを使用して、ユーザのOutlook、Outlook Expressの受信メールのアドレスに対しワームを添付しメールを送信します。
Symantec Security Responseの対応
Symantec Security Responseは日本時間の本日未明よりW32.Nimda.A@mmを検知・駆除するためのウイルス定義ファイルの提供を開始しました。シマンテックのNorton AntiVirusのユーザはLiveUpdateなどを通じてウイルス定義ファイルを更新することで同ワームに対応できます。
同ワームに関する詳細は下記のページをご覧ください。
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
注1:シマンテック・セキュリティ・レスポンス。シマンテックが誇る世界最大のウイルス対策研究所「SARC」の機能に加え、不正侵入対策、およびテクニカル・サポートの機能を統合した新名称。
|
