clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
日本サイト更新日: 2003年6月16日 14:15

Category 2 CodeRed II

発見日: 2003年3月11日 (米国時間)
最終更新日: 2003年6月13日 14:52 (米国時間)

2003年6月13日(米国時間)、Symantec Security Responseは、CodeRed IIの危険度を3から2に引き下げました。

2003年3月11日、Symantec Security Response はCodeRedの新たな亜種が出回っていることを確認しました。この亜種とオリジナルのCodeRed IIとの相違点は、サイズが2バイト異なるだけです。シマンテックのウイルス対策製品のウイルス定義ファイルは、この亜種をCodeRed IIとして検出します。この新しい亜種も現在配布中のCodeRed駆除ツールで検知、駆除できます。

CodeRed IIは2001年8月4日に発見されました。他のWebサーバーに感染を広げるために同じバッファオーバーフローを利用することから、CodeRedの変種と言われています。Symantec Security Responseに数多くのIIS Web Serverに対する被害報告が寄せられていることから、危険性が高いという評価をしています。

オリジナルのCodeRedワームの検出と駆除方法、および、他のシマンテック製品を使った感染防止対策については、CodeRed Wormページの「追加情報」セクションをご覧ください。

シマンテックのウイルス対策技術を使った最も効果的なCodeRed感染防止手段については、こちら(英語)をクリックしてください。

オリジナルのCodeRedは、ホワイトハウスのWebサーバーにサービス拒否攻撃をするという発病症状を持っていました。CodeRed IIと呼ばれる変種は、ハッカーがリモートでWebサーバーの完全なアクセスを持つことを可能にするというオリジナルとは異なる発病症状を持っています。

Symantec Security Response では、お使いのコンピュータ上の脆弱性を評価し、CodeRed ワームと CodeRed II を駆除するツールを作成しました。 CodeRed 駆除ツールを入手するには、 ここをクリックしてください。

マイクロソフト社のIISサーバーを使用している場合、このワームの侵入を防ぐために最新のパッチを適用することを強くお勧めします。この脆弱性に関する情報とマイクロソフトの修正プログラムについては下記のWebサイトをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/MS01-033.asp(日本語)
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp(英語)


現時点までに配布されている4つのIIS修正プログラムを含んだ累積的な修正プログラムは、下記のWebサイトからダウンロードいただけます。

http://www.microsoft.com/japan/technet/security/bulletin/MS01-044.asp(日本語)
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp (英語)

Norton Antivirusは、このワームの発病症状(トロイの木馬コンポーネント)をTrojan.VirtualRootとして検出することにより、Webサーバーが感染していることを発見することができます。このトロイの木馬はWindows 2000の脆弱性を利用します。この問題に対応したMicrosoftのセキュリティの更新プログラムのダウンロード、インストールと、このトロイの木馬による再感染を防止する方法については、下記のWebサイトをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/MS00-052.asp(日本語)
http://www.microsoft.com/technet/security/bulletin/MS00-052.asp(英語)

別名: CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, CodeRed.F

種別: トロイの木馬, ワーム

CVE識別番号: CVE-2001-0500, CVE-2001-0506


  • 対応日(Intelligent Updater)*
    		•  2001/08/05(米国時間)
  • 対応日(Live UpdateTM)**
    		•  2001/08/05(米国時間)
    * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
    ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
    LiveUpdateの使い方については、こちらをクリックしてください。

    threat assessment

    被害状況

    危険性評価グラフ
    High Medium High

    被害状況:

    ダメージ:

    感染力:

    ダメージ

    • 発病症状: 外部からの不正な実行/アクセスを可能にするバックドア型トロイの木馬をインストールする

    感染力

    technical details

    CodeRed IIは既知のバッファオーバーフローを使って任意のWebサーバーに自分自身をインストールすることによって感染を広げます。但し、これは最新のマイクロソフトIISサービスパックを使ってパッチが当てられていないシステムだけに影響を与えます。

    この脆弱性に関する情報とマイクロソフトの修正プログラムについては下記のWebサイトをご覧ください。

    http://www.microsoft.com/japan/technet/security/bulletin/MS01-033.asp(日本語)
    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp(英語)

    これまでにリリースされている4つの修正プログラムを含むIISの累積的な修正プログラムについては、下記のWebサイトをご覧ください。

    http://www.microsoft.com/japan/technet/security/bulletin/MS01-044.asp(日本語)
    http://www.microsoft.com/technet/security/bulletin/MS01-044.asp (英語)

    システム管理者の方は、このワームや他の不正アクセスの防止策としてマイクロソフトの修正プログラムを適用することをお勧めします。

    Webサーバーに感染するとき、ワームは最初にIIS Serverサービスのプロセスアドレス空間でkernel32.dllのベースアドレスを識別するイニシャライズルーチンを呼び出します。次にGetProcAddressのアドレスを探し出し、以下のセットのAPIアドレスへのアクセスを取得するためにGetProcAddressの呼び出しを開始します。

    LoadLibraryA
    CreateThread
    ....
    GetSystemTime

    その後ワームはsocket、closesocket、WSAGetLastErrorのような機能にアクセスするためにWS2_32.DLL をロードし、USER32.DLLからExitWindowsExを取得します。ExitWindowsExはシステムをリブートするためにワームによって使用されます。

    メインスレッドは2つの異なるマーカーをチェックします。最初のマーカー"29A"は、Trojan.VirtualRootというトロイの木馬のインストールをコントロールします。もう一つのマーカーは、"CodeRedII"というセマフォです。セマフォが存在する場合、ワームは無限スリープに入ります。次にメインスレッドはコンピュータの言語設定をチェックします。言語設定が中国語(台湾あるいはPRC)の場合はスレッドを600個作成し、それ以外の場合はスレッドを300個作成します。これらのスレッドはランダムなIPアドレスを生成します。生成されたIPアドレスは次の感染対象となるWebサーバーを探すために使用されます。これらのスレッドが動作している間、メインスレッドはCmd.exeをWindows NT\Systemフォルダから次のフォルダ(存在する場合)にコピーします。

    c:\inetpub\scripts\root.exe
    d:\inetpub\scripts\root.exe
    c:\progra~1\common~1\system\MSADC\root.exe
    d:\progra~1\common~1\system\MSADC\root.exe

    ワームによって挿入されたトロイの木馬によって、次のレジストリキーが改ざんされていた(新規のキーが追加され、ユーザグループが217に設定されていた)場合、

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\
    Services\W3SVC\Parameters\Virtual Roots

    ハッカーはHTTP GETリクエストをそのWebサーバーに送信し、script/root.exeをそのサーバー上で実行することによってそのWebサーバーを完全に制御できるようになります。


    メインスレッドは中国語のシステムで48時間、その他のシステムでは24時間スリープします。ワームによって生成された300個あるいは600個のスレッドはその間も動作を続け、他のシステムに感染を試みます。メインスレッドは、そのスリープ状態から覚醒したときにコンピュータを再起動します。さらに、すべてのスレッドは日付の月が10月であるかどうか、あるいは日付の年が2002年であるかどうかを調べ、いずれかに該当する場合はコンピュータを再起動します。

    ワームはコマンドシェル(cmd.exe)をIIS Webサーバーの既定の実行可能ディレクトリにコピーし、遠隔制御を可能にします。また、ワームはルートドライブ上に、あるファイルをC:\EXPLORER.EXEまたはD:\EXPLORER.EXE、あるいはその両方として挿入します。そのファイルには隠しファイル、システムファイル、読み出し専用属性が設定されています。これらのトロイの木馬ファイルはNorton AntiVirusではTrojan.VirtualRootとして検出されます。ワームはこのファイルを自身の内部に圧縮形式で携帯し、攻撃対象のサーバーに挿入するときに解凍します。

    ワームは感染活動を24時間または48時間続けた後、コンピュータを再起動します。しかし、マイクロソフトの最新のパッチが当てられるまで、一度感染したコンピュータに再び感染するおそれがあります。コンピュータは、日付が10月または2002年の場合にも再起動されます。コンピュータの再起動中、システムがExplorer.exeを実行しようとしたときにTrojan.VirtualRootが実行されます(これは、Windows NTがプログラムを実行する際、プログラムのパス名を名前解決あるいは検索する手順によるものです)。トロイの木馬(C:\Explorer.exe)は数分間スリープした後、レジストリキーを確実に改変するために上記のキーをリセットします。

    メモリ常駐型のワームはコンピュータの再起動後は活動を停止していることに注意してください。言い換えると、感染しているシステムが再起動したとき、そのコンピュータが再度感染しない限りワームは他のコンピュータへ感染を広げようとはしません。

    また、 このトロイの木馬は次のレジストリキーの

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows NT\CurrentVersion\Winlogon

    次の値を

    SFCDisable

    次の値に設定することによって、

    0xFFFFFF9D

    システムファイル・チェッカーを無効にします。

    注意:

    • Microsoft FrontPageあるいはその他のWebページ作成プログラムをご使用の場合、そのコンピュータにはIISがインストールされている可能性があります。
    • IISのログファイルに追加される文字列も含め、さらに詳細な情報については、CERTの下記Webサイトをご覧ください。
      http://www.cert.org/incident_notes/IN-2001-08.html(英語)

    Symantec ManHunt
     Symantec Manhunt 2.2 はプロトコル異常検出機能を使用してCodeRedワームを"SMTP Malformed Data"として検知します。また、カスタム・ルールを最新のsnortルールで最新版に更新し、HYBRID MODE機能がオンにしておけば、この脅威は"HTTP_IIS_ISAPI_Extension"として検出されます。

    recommendations

    Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
    • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 従業員に対し、次のことを徹底させる。
      • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
      • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
      • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

    removal instructions

    Symantec Security Response ではお使いのコンピュータ上の脆弱性の評価と CodeRed ワームと CodeRed II を駆除するツールを作成しました。 CodeRed 駆除ツールを入手するには、 ここをクリックしてください。
    なんらかの理由によりCodeRed 駆除ツールを入手・使用できない場合は、手動で駆除してください。

    手動によるワームの駆除方法:

    CodeRed IIを手動で駆除するためには必ず、最初にMicrosoftから配布されている修正プログラムを適用した後、その他の変更作業を行ない、レジストリを編集する必要があります。これらの作業を必ず以下に記載通りの順に実行してください。

    修正プログラムの入手方法:
    このステップは大変重要ですので、絶対に省略しないでください。

    次のWebサイトから修正プログラムをダウンロードして入手し、適用してください。

    http://www.microsoft.com/japan/technet/security/bulletin/MS01-033.asp(日本語)
    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp(英語)

    あるいは、IISの累積的な修正プログラムをダウンロードしてインストールしてもかまいません。次のWebサイトから入手できます。

    http://www.microsoft.com/japan/technet/security/bulletin/MS01-044.asp(日本語)
    http://www.microsoft.com/technet/security/bulletin/MS01-044.asp (英語)

    ワームファイルを削除する方法:

    1. CodeRed II によって作成されたトロイの木馬(NAVではTrojan.VirtualRootとして検知されます)に関連した動作中のプロセスを下記の手順に沿って終了させてください。

      1. CTRL-ALT-DELETE を押して、[タスクマネージャー]ボタンをクリックします。
      2. [プロセス]タブをクリックします。
      3. [イメージ名]というボックスタイトルをクリックすることで、プロセス項目をアルファベット順に並べ替えます。 Explorer.exe というプロセスが2つあるはずです。一つは正規の Explorer のプロセスで、もう一つはトロイの木馬です。
      4. 正規の方のプロセスを終了させるために、表示メニューから[列の選択]を選択します。
      5. ダイアログボックスが開いたら、[スレッドの数]ボックスにチェックマークを付け、OKを押します。
      6. 新しい列がタスクマネージャーのリストに表示され、そこに各プロセスのスレッド数が表示されます (この列を確認するには、右方向へスクロールさせる必要があるかもしれません)。
      7. 2つある Explorer.exe のうち、スレッド数が1つのみの方をクリックして選択します。
      8. 選択したら、[プロセスの終了]ボタンを押します。
      9. 警告メッセージが表示されたら、[はい]をクリックしてプロセスを終了させます。
      10. ファイルメニューから[タスクマネージャーの終了]を選択します。

    2. 次に、感染したシステム上に作成された explorer.exe ファイルを削除しなければなりません。これらのファイルには、読み取り専用、隠しファイル、システムファイル属性が設定されています。これらのファイルを削除するには次のステップに従ってください。

      1. [スタート]ボタンを押し、メニューから[ファイル名を指定して実行]を選択します。
      2. cmd と入力してEnterキーを押します。
      3. 次のコマンドを入力します。1行入力するごとにEnterキーを押してください。

        cd c:\
        attrib -h -s -r explorer.exe
        del explorer.exe

        これらのコマンドは、ルートディレクトリに切替え、属性を解除し、トロイの木馬をCドライブから削除します。

      4. d:と入力し、Enterキーを押します。

        フォーカスがDドライブ(存在する場合)に移動します。Dドライブが存在しない場合は、ステップ fへ進んでください。

      5. 次の行を入力します。1行ごとにEnterキーを押してください。

        cd d:\
        attrib -h -s -r explorer.exe
        del explorer.exe

      6. 次に exit と入力し、その後、Enterキーを押します。

    3. Windowsエクスプローラを開き、次の4つのファイルを削除します(これらのファイルは %Windir%root.exe のコピーにすぎません)
      • C:\inetpub\Scripts\Root.exe
      • D:\inetpub\Scripts\Root.exe
      • C:\progra~1\Common~1\System\MSADC\Root.exe
      • D:\Progra~1\Common~1\System\MSADC\Root.exe
    4. コンピュータの管理画面を開いて、Webサーバーの共有を解除しなければなりません。まず、デスクトップ上にある[マイコンピュータ]アイコン上で右クリックし、[管理]を選択します。



      [コンピュータの管理]ウィンドウが表示されます。

    5. 画面左側で、"コンピュータの管理 (ローカル)\サービスとアプリケーション\インターネットインフォメーションサービス¥既定のWebサイト"を選択します。

    6. Cドライブのアイコン上で右クリックし、[削除]を選択します。[既定のWeb サイト]として表示されている他のすべてのドライブに対してもこのステップを行ってください。



    7. 次のセクションへ進んでください。

    ワームによって改ざんされたレジストリの修復と削除:

    注意:システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

    1. スタートメニューから[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
    2. regedit と入力してEnterキーを押します。レジストリエディタが開きます。
    3. 次のレジストリを選択します。

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
      Services\W3SVC\Parameters\Virtual Roots

      画面右側に値が幾つか表示されます。これらの値のうち2つは CodeRed II によって作成されたものなので、削除しなければなりません。それ以外の値は変更する必要があります。

    4. 次の値を選択します。

      /C

    5. Delete キーを押し、確認ダイアログが表示されたら[はい]を押します。
    6. 次の値を選択します。

      /D

    7. Delete キーを押し、確認ダイアログが表示されたら[はい]を押します。
    8. 次の値をダブルクリックします。

      /MSADC

    9. 現在の値データのうち、 217 を 201 に置き換え、[OK]をクリックします。
    10. 次の値をダブルクリックします。

      /Scripts

    11. 現在の値データのうち、 217 を 201 に置き換え、[OK]をクリックします。

      注意: CodeRed 駆除ツールを実行した場合、レジストリから/MSADC および /Scripts 項目が完全に削除されますが、これらの項目はIISをその後再起動したときに正しい値を使って再び作成されます。

    12. お使いのWindowsに応じて、以下のステップへ進んでください。
      • Windows 2000以外のシステムをお使いの場合は、ステップ 16へ進んでください。
      • Windows 2000をお使いの場合は、ステップ 13へ進んでください。
    13. 次のキーを選択します。

      HKEY_LOCAL_MACHINE\Software\Microsoft\
      Windows NT\CurrentVersion\WinLogon

    14. 画面右側で、次の値をダブルクリックします。

      SFCDisable

    15. 現在の値データを削除し、その後、0(数字のゼロ)を入力した後、[OK]をクリックします。
    16. レジストリ エディタを終了します。
    17. CodeRed IIを確実に駆除するために、コンピュータを再起動します。

    追加情報

    CodeRed IIの攻撃を受けてしまった場合、他にどんなリスクにさらされているのかを判断することは非常に困難です。 ほとんどの場合、感染しているシステムはそれ以上に危険にさらされる可能性は低いと思われますが、いったん攻撃を受けてセキュリティが低下してしまったコンピュータのなかには、他の悪意のある行為が実行されるリスクが新たに生じるものがあります。ログを解析することによって、コンピュータに他に悪意のある活動が行われていないという確証がない限り、システムを完全に再インストールすることを強く推奨します。1度攻撃を受けたコンピュータがクリーンになったことを100%確信できる方法は、これ以外にありません。