clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
日本サイト更新日: 2003年6月16日 14:15

Category 2 CodeRed Worm

発見日: 2001年7月16日 (米国時間)
最終更新日: 2003年6月13日 15:04 (米国時間)

2003年6月13日(米国時間)、Symantec Security Responseは、CodeRed Wormの危険度を3から2に引き下げました。

CodeRed Worm Update: August 10, 2001 (9:00 AM Pacific):
Symantec Security Response ではお使いのコンピュータ上の脆弱性の評定と CodeRed ワームと CodeRed II を駆除するツールを作成しました。CodeRed 駆除ツールを入手するには、ここをクリックしてください。

CodeRed Worm Update: August 5, 2001 (12:00 AM Pacific):
CodeRedの変種はCodeRed IIとして検出します。CodeRed IIに関する詳しい情報はこちらをクリックしてください。

CodeRed Worm Update: July 31, 2001 (1:00 PM Pacific):
CodeRedワームは、無限スリープに入るというロジックのため、このワームによる感染拡大は2001年7月28日時点で停止していました。推測に拠るところが大きいと思われますが、このワームは2001年8月1日に再び覚醒し活動を再開することが危惧されています。Symantec Security Responseの分析によれば、既に感染していたマシン内のワームが、再感染によって再び覚醒することはないようです。ワームが再びインターネットに注入された場合でも、その影響を受けるのは、Webサーバ上にセキュリティホールが残っているマシンのみです。以前このワームに感染していたマシンでも、修正パッチが適用されていない場合は再び感染するおそれがあります。Symantec Security Responseでは、IIS4.0または5.0のユーザに対し、マイクロソフトが配布している修正パッチを2001年8月1日までに適用するようお勧めしています。Symantec Security Responseでは引き続きインターネット上でのCodeRedの活動を監視し、最新情報を随時お知らせする予定です。

CodeRed Wormは、IIS 4.0または5.0 Web Serverが動作しているWindows NT 4.0またはWindows 2000システム上のMicrosoft Index Server 2.0 および Windows 2000 Indexing serviceに感染します。このワームは、Idq.dllファイルに含まれるバッファ・オーバーフローと呼ばれる既知の脆弱性を利用します。この脆弱性に関する情報とマイクロソフトの修正プログラムについては下記のWebサイトをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/MS01-033.asp(日本語)
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp(英語)

現時点でリリースされている4つの修正プログラムを含む累積的な修正プログラム

http://www.microsoft.com/japan/technet/security/bulletin/MS01-044.asp(日本語)
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp (英語)

※マイクロソフト社によるCodeRedに関する専用日本語ページ
http://www.microsoft.com/japan/technet/security/codealrt.asp

システム管理者の方は、このワームや他の不正アクセスの防止策としてマイクロソフトの修正プログラムを適用することをお勧めします。

このワームに感染しているかどうかやセキュリティホールとなっている脆弱性の存在をチェックする方法、あるいは、Symantec Enterprise Firewallをご使用のお客様は、後述の「追加情報」をご覧ください。

シマンテックのテクノロジーを使って.CodeRedに対処する方法については、こちら(英語)をクリックしてください。

別名: W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm

種別: ワーム

感染サイズ: 3569

CVE識別番号: CVE-2001-0500, CVE-2001-0506


  • 対応日(Intelligent Updater)*
    		•  01/07/17(米国時間)
    * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
    ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
    LiveUpdateの使い方については、こちらをクリックしてください。

    threat assessment

    被害状況

    危険性評価グラフ
    High Medium Medium

    被害状況:

    ダメージ:

    感染力:

    ダメージ

    感染力

    • 感染対象: 修正プログラムが適用されていないMicrosoft Index 2.0あるいはWindows 2000 Indexing Serviceを使用しているシステム。

    technical details

    CodeRed Wormは、自身のコードをHTTPリクエストとして送信します。そのHTTPリクエストは、感染先のコンピュータ上でワームを実行可能にするバッファオーバーフローと呼ばれる既知のセキュリティホールを攻撃します。悪意のあるコードはファイルとしては保存されず、メモリに侵入してメモリから直接実行されます。


    このワームが実行されると、最初にC:\Notwormというファイルを探します。このファイルが存在する場合は活動を中断し、ワームのスレッドは無限スリープ状態になります。

    C:\Notwormファイルが存在しない場合、新たなスレッドが作成されます。システムの日付が20日よりも前の日付の場合、次の99個のスレッドが動作し、新たな標的としてランダムに生成したIPアドレスに該当するコンピュータを攻撃しようとします。感染元のコンピュータに再度感染しないようにするために、127.*.*.* のIPアドレスにはHTTPリクエストを送信しません。

    コンピュータの言語設定が「英語(U.S.)」 に設定されている場合、さらにWebページを改ざんされたような外観にします。最初に、スレッドは2時間スリープした後、HTTPリクエストに応答する関数をフックし、本来のWebページを返す代わりにワームのHTMLコードを返します。

    このとき表示されるHTMLの内容は次の通りです。

    Welcome to http:// www.worm.com !
    Hacked By Chinese!

    このフックは10時間経過後に解除されますが、再感染あるいは他のスレッドによって再びフックされる可能性があります。

    このワームは現在、2つのバージョンが世間一般で確認されています。2つ目のバージョンは、webページの改ざんは行いません。

    また、日付が20日〜28日の間、アクティブなスレッドが米国のホワイトハウスのWebサイト(www.whitehouse.gov)に対し、サービス拒否攻撃を実行しようとします。具体的には、IPアドレスが198.137.240.91のポート80(Webサービス)に大量のジャンク データを送りつけようとします。ホワイトハウスのIPアドレスは変更され、上記のIPアドレスは現在使用されていません。

    最後に、日付が29日以降の場合、ワームのスレッドは実行せずに無限スリープに入ります。このようなマルチスレッド作成によりコンピュータの動作が不安定になる可能性があります。

    注意:

    • Microsoft FrontPage またはその他のWebページ作成プログラムをお使いの場合、そのコンピュータ上にはIISがインストールされている可能性があります。

    • IISログファイルに追加される文字列など、さらに詳しい情報については、下記URLにあるCERT Cordination Centerのページ(英語)をご覧ください。

      http://www.cert.org/incident_notes/IN-2001-08.html(英語)

    • 米国クエスト社によると、DSL回線を利用していて、かつ、シスコ製の通信モデム675/678を使用している場合、通信モデムがこのワームの影響を受けるおそれがあります。詳しくは、下記サイトをご覧ください。

      http://www.qwest.com/dsl/customerservice/coderedvirus.html(英語)

      CodeRedおよびシスコ製品(ハードウェア、ソフトウェア)に関する問題点について詳しくは、下記サイトをご覧ください。

      http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml(英語)

    • ポート80で受信待機するように設定されているヒューレット・パッカード社製 Jet Directカードも、サービス拒否攻撃を受けるおそれがあります。

    recommendations

    Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
    • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 従業員に対し、次のことを徹底させる。
      • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
      • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
      • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

    removal instructions

    Symantec Security Response では、お使いのコンピュータの脆弱性を評価し、CodeRedワームとCodeRed IIを駆除するツールを配布しています。CodeRed駆除ツールを入手するには、こちらをクリックしてください。

    何らかの理由でこのツールを利用できないか、あるいは入手できない場合は手動で駆除する必要があります。

    このワームを手動で駆除するには:

    1. 次のWebサイトから修正プログラムをダウンロードして入手し、適用します。

      http://www.microsoft.com/japan/technet/security/bulletin/MS01-033.asp(日本語)
      http://www.microsoft.com/technet/security/bulletin/MS01-033.asp(英語)

      代わりに、下記サイトからIISの累積的な修正プログラムをダウンロードし、インストールしても構いません。

      http://www.microsoft.com/japan/technet/security/bulletin/MS01-044.asp(日本語)
      http://www.microsoft.com/technet/security/bulletin/MS01-044.asp (英語)

    2. コンピュータを再起動します。

    追加情報:

    シマンテックでは、前述のワームおよび脆弱性をチェックするための幾つかのツールをオプションで提供しています。

    個人のお客様:

    • Symantec Security Checkは、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。オンラインスキャンを今すぐ開始するにはこちらをクリックしてください。
    • "FixCodeRed Assessment Tool"(英語版) は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。ご使用のコンピュータ上に前述のセキュリティホールが見つかった場合、このツールはメモリをスキャンしてワームが存在するかどうかを調べます。このツールをコンピュータにダウンロードするには、こちらをクリックしてください。
    • Norton Internet Securityは、シマンテックの総合セキュリティ、プライバシー保護スイート製品で、IISサーバから送信される不審なデータトラフィックを遮断する規則が新たに追加されました。現在Norton Internet Securityをご使用のお客様は、LiveUpdateを実行することで、この新しい規則を適用できます。

    企業・法人のお客様 :

    • Symantec Security Checkは、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。オンラインスキャンを今すぐ開始するにはこちらをクリックしてください。
    • "FixCodeRed Assessment Tool"(英語版)は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。ご使用のコンピュータ上に前述のセキュリティホールが見つかった場合、このツールはメモリをスキャンしてワームが存在するかどうかを調べます。このツールをコンピュータにダウンロードするには、こちらをクリックしてください。
    • Enterprise Security Manager (ESM) は、ESMパッチ モジュールを通じてセキュリティ パッチの更新を管理するセキュリティポリシー準拠・セキュリティホール管理システムです。Symantec Security Responseでは、Windows NT 4.0とWindows 2000における前述のセキュリティホールを検出する2つのパッチテンプレートを配布しています。これらのテンプレートを入手するには、q300972.zipをダウンロードし、その後、ESM Managerの/esm/templateフォルダにテンプレートを抽出してください。
    • NetProwlerは、シマンテックのネットワークベースの侵入検知ツールです。セキュリティ アップデート 8がインストールされている場合、NetProwlerはIIS 4.0または5.0への前述のセキュリティホールを使った攻撃を検出します。NetProwler SU8は自動更新機能を実行することでダウンロードできます。
    • Symantec Enterprise Firewallは、シマンテックのアプリケーション ファイアウォールです。本製品は標準で、IISのようなWebサーバから送信される不審なデータ トラフィックを遮断します。ファイアウォールのサービスネットワーク上で動作している場合、前述のワームや、他のタイプの攻撃の拡大を防ぎます。これらの標準設定の詳細については、後述の「Symantec Enterprise Firewall追加情報」をご覧ください。
    • NetReconは、シマンテックのネットワーク セキュリティホール査定ツールで、前述のセキュリティホールも検知可能になるよう更新されました。このツールはMicrosoft IIS Index Serviceをチェックし、IIS Serverがこの脅威にさらされている場合はその旨を通知します。詳細については、こちら(英語)をクリックしてください。

    Code Redワームはメモリ上でのみ動作し、ハードドライブに直接データを書き込むことはないため、C:\Notwormなど特定のファイルを探したり、外見が変更されたように見えるWebページのHTMLファイルを確認したりする方法では、感染しているかどうかを正確に判断することはできないことに注意してください。詳細は、前述の「テクニカルノート」セクションをご覧ください。また、ログファイル内でワームの跡を探しても確実性に欠けます。これは、コンピュータに修正プログラムを適用していた場合でも、ログファイルには過去に受けた攻撃のログエントリが残っている可能性があるためです。このように確実性に欠ける検出方法に頼るのではなく、マイクロソフト社から配布されている修正プログラムを適用することを強くお勧めします。

    CodeRedワームは、HTTPリクエストを使って感染を拡大します。このワームのコードはバッファ・オーバーフローと呼ばれる既知のセキュリティホールを攻撃することで、ワームが感染先のコンピュータで実行できるようにします。このワームのコードはファイルとして保存されるのではなく、メモリに挿入され、メモリ上から直接実行されます。マイクロソフトの修正プログラムを適用し、その後、コンピュータを再起動することで、このワームおよび感染の拡大を未然に防ぐことができます。

    このワームは新たな標的となるコンピュータを探すだけでなく、DoS(サービス拒否)攻撃を試みる可能性があります。また、このワームは多数のスレッドを作成し、結果的にシステムを不安定にします。

    最後に、修正プログラムが適用されていないシスコ製品およびポート80で受信待機する他のサービス(ヒューレット・パッカードのJetDirectカードなど)もこのワームの攻撃に遭ったり、ポートスキャンの結果DoS(サービス拒否)攻撃が行われる可能性があります。


    Symantec Enterprise Firewall追加情報

    Symantec Enterprise Firewall、VelociRaptor Firewallアプライアンス、 Symantec Raptor Firewall は、「標準プロテクト」のセキュリティ設定、第三世代アプリケーション検査技術、オートマティック継続システム ハードニングなどを装備して、ご使用のネットワークをファイアウォールで確実に守るセキュリティ対策製品です。CodeRedワームの場合、ここでも「標準プロテクト」のアプローチが最近のCodeRedワームの感染拡大防止に役立つという点で、ユーザの皆様およびインターネット コミュニティのセキュリティ保護に大きく寄与します。これらのファイアウォール製品のいずれかを、公開Webサーバを外部の攻撃から防御できる場所にインストールしておけば、標準設定のまま、このワームの感染拡大を自動的に防止することができます。念のため、設定画面をダブルクリックし、サービス ネットワーク上のWebサーバが外部にWebリクエストを送信することを許可する規則が何も追加されていないことを確認することをお勧めします。このような規則の追加は一般的ではなく、ご使用のSymantecゲートウェイ ファイアウォール製品に変更を行う必要は一切ありません。

    公開Webサーバをファイアウォールの「内側」のネットワーク上に置いている場合は、ご使用のWebサーバ全てに対し、Webリクエストを外部へ送信することを禁止する規則を追加することをお勧めします。通常、Webサーバは外部からWebリクエストを受けつける必要はありますが、外部へWebリクエストを送信する必要が生じることはないため、日々の運用に支障をきたすことはありません。上記のような変更を行えば、ネットワーク全体のセキュリティ強化になり、CodeRedワームの感染防止にも役立ちます。さらに、ネットワークの構成とWebサーバの展開を再チェックすることをお勧めします。最大限のプロテクションを得るためには、さらに、一般ユーザがアクセス可能なサーバすべてを内部ネットワークではなく、ファイアウォールのサービスネットワーク上に配置することをお勧めします。

    さらに詳細な情報は、ドキュメント"シマンテック・エンタープライズ・セキュリティ・ソリューション、Microsoft Windows Index Server ISAPI エクステンションのSystemレベルでのリモートアクセスによって起こされるバッファオーバーフロー問題に対応"をご覧ください。

    ご使用のサーバに修正プログラムが適用済みかどうかを判断できるよう、マイクロソフト社からIIS 5.0 Hotfix Checking Toolが配布されています。このツールは下記のサイトから入手できます。

    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168(英語)

    影響を受ける製品に関するシスコ社の助言は下記のサイトでご覧いただけます。

    http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml(英語)