発見日: July 16, 2001
更新日: February 13, 2007 11:37:00 AM
別名: W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm
種別: Worm
感染サイズ: 3569
影響を受けるシステム: Microsoft IIS
CVE 識別番号: CVE-2001-0500 CVE-2001-0506


2003年6月13日(米国時間)、Symantec Security Response は、CodeRed Worm の危険度を 3 から 2 に引き下げました。

CodeRed Worm Update: August 10, 2001 (9:00 AM Pacific):
Symantec Security Response ではお使いのコンピュータ上の脆弱性の評定と CodeRed ワームと
CodeRed II を駆除するツールを作成しました。CodeRed 駆除ツールを入手するには、ここをクリック してください。

CodeRed Worm Update: August 5, 2001 (12:00 AM Pacific):

CodeRedの変種はCodeRed II として検出します。CodeRed II に関する詳しい情報は
こちら をクリックしてください。

CodeRed Worm Update: July 31, 2001 (1:00 PM Pacific):

CodeRed ワームは、無限スリープに入るというロジックのため、このワームによる感染拡大は 2001年 7月 28日時点で停止していました。推測に拠るところが大きいと思われますが、このワームは 2001年 8月 1日に再び覚醒し活動を再開することが危惧されています。Symantec Security Response の分析によれば、既に感染していたマシン内のワームが、再感染によって再び覚醒することはないようです。ワームが再びインターネットに注入された場合でも、その影響を受けるのは、Web サーバ上にセキュリティホールが残っているマシンのみです。以前このワームに感染していたマシンでも、修正パッチが適用されていない場合は再び感染するおそれがあります。Symantec Security Response では、IIS 4.0 または 5.0 のユーザに対し、マイクロソフトが配布している修正パッチを 2001年 8月 1日までに適用するようお勧めしています。Symantec Security Response では引き続きインターネット上での CodeRed の活動を監視し、最新情報を随時お知らせする予定です。

CodeRed Worm は、IIS 4.0 または 5.0 Web Serverが動作している Windows NT 4.0 または Windows 2000 システム上の Microsoft Index Server 2.0 および Windows 2000 Indexing service に感染します。このワームは、Idq.dll ファイルに含まれるバッファ・オーバーフローと呼ばれる既知の脆弱性を利用します。この脆弱性に関する情報とマイクロソフトの修正プログラムについては下記の Web サイトをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/MS01-033.asp (日本語)
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp (英語)

現時点でリリースされている4つの修正プログラムを含む累積的な修正プログラム

http://www.microsoft.com/japan/technet/security/bulletin/MS01-044.asp (日本語)
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp (英語)

※マイクロソフト社によるCodeRedに関する専用日本語ページ

http://www.microsoft.com/japan/technet/security/codealrt.asp

システム管理者の方は、このワームや他の不正アクセスの防止策としてマイクロソフトの修正プログラムを適用することをお勧めします。

このワームに感染しているかどうかやセキュリティホールとなっている脆弱性の存在をチェックする方法、あるいは、Symantec Enterprise Firewall をご使用のお客様は、後述の「
追加情報」をご覧ください。

シマンテックのテクノロジーを使って.CodeRed に対処する方法については、
こちら (英語) をクリックしてください。



シマンテックでは、前述のワームおよび脆弱性をチェックするための幾つかのツールをオプションで提供しています。

個人のお客様:

  • Symantec Security Check は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。オンラインスキャンを今すぐ開始するには こちら をクリックしてください。
  • "FixCodeRed Assessment Tool"(英語版) は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。ご使用のコンピュータ上に前述のセキュリティホールが見つかった場合、このツールはメモリをスキャンしてワームが存在するかどうかを調べます。このツールをコンピュータにダウンロードするには、こちら をクリックしてください。
  • Norton Internet Security は、シマンテックの総合セキュリティ、プライバシー保護スイート製品で、IIS サーバから送信される不審なデータトラフィックを遮断する規則が新たに追加されました。現在Norton Internet Security をご使用のお客様は、LiveUpdate を実行することで、この新しい規則を適用できます。

企業・法人のお客様 :
  • Symantec Security Check は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。オンラインスキャンを今すぐ開始するには こちら をクリックしてください。
  • "FixCodeRed Assessment Tool"(英語版) は、ご使用のコンピュータが危険な状態かどうかを判定するための無償ツールです。ご使用のコンピュータ上に前述のセキュリティホールが見つかった場合、このツールはメモリをスキャンしてワームが存在するかどうかを調べます。このツールをコンピュータにダウンロードするには、こちら をクリックしてください。
  • Enterprise Security Manager (ESM) は、ESMパッチ モジュールを通じてセキュリティ パッチの更新を管理するセキュリティポリシー準拠・セキュリティホール管理システムです。Symantec Security Responseでは、Windows NT 4.0 と Windows 2000 における前述のセキュリティホールを検出する 2 つのパッチテンプレートを配布しています。これらのテンプレートを入手するには、q300972.zip をダウンロードし、その後、ESM Managerの/esm/template フォルダにテンプレートを抽出してください。
  • NetProwler は、シマンテックのネットワークベースの侵入検知ツールです。セキュリティ アップデート 8 がインストールされている場合、NetProwler は IIS 4.0 または 5.0 への前述のセキュリティホールを使った攻撃を検出します。NetProwler SU 8 は自動更新機能を実行することでダウンロードできます。
  • Symantec Enterprise Firewall は、シマンテックのアプリケーション ファイアウォールです。本製品は標準で、IIS のような Web サーバから送信される不審なデータ トラフィックを遮断します。ファイアウォールのサービスネットワーク上で動作している場合、前述のワームや、他のタイプの攻撃の拡大を防ぎます。これらの標準設定の詳細については、後述の「Symantec Enterprise Firewall 追加情報」をご覧ください。
  • NetRecon は、シマンテックのネットワーク セキュリティホール査定ツールで、前述のセキュリティホールも検知可能になるよう更新されました。このツールは Microsoft IIS Index Service をチェックし、IIS Server がこのリスクにさらされている場合はその旨を通知します。詳細については、こちら (英語)をクリックしてください。

Code Red ワームはメモリ上でのみ動作し、ハードドライブに直接データを書き込むことはないため、C:\Notworm など特定のファイルを探したり、外見が変更されたように見える Web ページの HTML ファイルを確認したりする方法では、感染しているかどうかを正確に判断することはできないことに注意してください。詳細は、前述の「テクニカルノート」セクションをご覧ください。また、ログファイル内でワームの跡を探しても確実性に欠けます。これは、コンピュータに修正プログラムを適用していた場合でも、ログファイルには過去に受けた攻撃のログエントリが残っている可能性があるためです。このように確実性に欠ける検出方法に頼るのではなく、マイクロソフト社から配布されている修正プログラムを適用することを強くお勧めします。

CodeRed ワームは、HTTP リクエストを使って感染を拡大します。このワームのコードはバッファ・オーバーフローと呼ばれる既知のセキュリティホールを攻撃することで、ワームが感染先のコンピュータで実行できるようにします。このワームのコードはファイルとして保存されるのではなく、メモリに挿入され、メモリ上から直接実行されます。マイクロソフトの修正プログラムを適用し、その後、コンピュータを再起動することで、このワームおよび感染の拡大を未然に防ぐことができます。

このワームは新たな標的となるコンピュータを探すだけでなく、DoS (サービス拒否)攻撃を試みる可能性があります。また、このワームは多数のスレッドを作成し、結果的にシステムを不安定にします。

最後に、修正プログラムが適用されていないシスコ製品およびポート80で受信待機する他のサービス(ヒューレット・パッカードの JetDirect カードなど)もこのワームの攻撃に遭ったり、ポートスキャンの結果 DoS (サービス拒否)攻撃が行われる可能性があります。


Symantec Enterprise Firewall 追加情報


Symantec Enterprise Firewall、VelociRaptor Firewall アプライアンス、 Symantec Raptor Firewall は、「標準プロテクト」のセキュリティ設定、第三世代アプリケーション検査技術、オートマティック継続システム ハードニングなどを装備して、ご使用のネットワークをファイアウォールで確実に守るセキュリティ対策製品です。CodeRed ワームの場合、ここでも「標準プロテクト」のアプローチが最近の CodeRed ワームの感染拡大防止に役立つという点で、ユーザの皆様およびインターネット コミュニティのセキュリティ保護に大きく寄与します。これらのファイアウォール製品のいずれかを、公開 Web サーバを外部の攻撃から防御できる場所にインストールしておけば、標準設定のまま、このワームの感染拡大を自動的に防止することができます。念のため、設定画面をダブルクリックし、サービス ネットワーク上の Web サーバが外部に Web リクエストを送信することを許可する規則が何も追加されていないことを確認することをお勧めします。このような規則の追加は一般的ではなく、ご使用の Symantec ゲートウェイ ファイアウォール製品に変更を行う必要は一切ありません。

公開 Web サーバをファイアウォールの「内側」のネットワーク上に置いている場合は、ご使用の Web サーバ全てに対し、Web リクエストを外部へ送信することを禁止する規則を追加することをお勧めします。通常、Web サーバは外部から Web リクエストを受けつける必要はありますが、外部へ Web リクエストを送信する必要が生じることはないため、日々の運用に支障をきたすことはありません。上記のような変更を行えば、ネットワーク全体のセキュリティ強化になり、CodeRed ワームの感染防止にも役立ちます。さらに、ネットワークの構成と Web サーバの展開を再チェックすることをお勧めします。最大限のプロテクションを得るためには、さらに、一般ユーザがアクセス可能なサーバすべてを内部ネットワークではなく、ファイアウォールのサービスネットワーク上に配置することをお勧めします。

さらに詳細な情報は、ドキュメント"
シマンテック・エンタープライズ・セキュリティ・ソリューション、Microsoft Windows Index Server ISAPI エクステンションの System レベルでのリモートアクセスによって起こされるバッファオーバーフロー問題に対応"をご覧ください。

ご使用のサーバに修正プログラムが適用済みかどうかを判断できるよう、マイクロソフト社から IIS 5.0 Hotfix Checking Tool が配布されています。このツールは下記のサイトから入手できます。

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168 (英語)

影響を受ける製品に関するシスコ社の助言は下記のサイトでご覧いただけます。

http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml (英語)

ウイルス対策日

  • Rapid Release 初回バージョン July 17, 2001
  • Rapid Release 最新バージョン September 28, 2010 リビジョン 054
  • Daily Certified 初回バージョン July 17, 2001
  • Daily Certified 最新バージョン September 28, 2010 リビジョン 036

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Eric Chien

発見日: July 16, 2001
更新日: February 13, 2007 11:37:00 AM
別名: W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm
種別: Worm
感染サイズ: 3569
影響を受けるシステム: Microsoft IIS
CVE 識別番号: CVE-2001-0500 CVE-2001-0506


CodeRed Worm は、自身のコードを HTTP リクエストとして送信します。その HTTP リクエストは、感染先のコンピュータ上でワームを実行可能にするバッファオーバーフローと呼ばれる既知のセキュリティホールを攻撃します。悪意のあるコードはファイルとしては保存されず、メモリに侵入してメモリから直接実行されます。


このワームが実行されると、最初に C:\Notworm というファイルを探します。このファイルが存在する場合は活動を中断し、ワームのスレッドは無限スリープ状態になります。

C:\Notworm ファイルが存在しない場合、新たなスレッドが作成されます。システムの日付が 20日よりも前の日付の場合、次の 99 個のスレッドが動作し、新たな標的としてランダムに生成した IP アドレスに該当するコンピュータを攻撃しようとします。感染元のコンピュータに再度感染しないようにするために、127.*.*.* の IP アドレスには HTTP リクエストを送信しません。

コンピュータの言語設定が「英語 (U.S.)」 に設定されている場合、さらに Web ページを改ざんされたような外観にします。最初に、スレッドは 2 時間スリープした後、HTTP リクエストに応答する関数をフックし、本来のWebページを返す代わりにワームの HTML コードを返します。

このとき表示されるHTMLの内容は次の通りです。

Welcome to http:// www.worm.com !
Hacked By Chinese!

このフックは 10 時間経過後に解除されますが、再感染あるいは他のスレッドによって再びフックされる可能性があります。

このワームは現在、2 つのバージョンが世間一般で確認されています。2 つ目のバージョンは、web ページの改ざんは行いません。

また、日付が 20日~28日の間、アクティブなスレッドが米国のホワイトハウスの Web サイト (www.whitehouse.gov) に対し、サービス拒否攻撃を実行しようとします。具体的には、IP アドレスが 198.137.240.91 のポート 80 (Web サービス) に大量のジャンク データを送りつけようとします。ホワイトハウスの IP アドレスは変更され、上記の IP アドレスは現在使用されていません。

最後に、日付が 29日以降の場合、ワームのスレッドは実行せずに無限スリープに入ります。このようなマルチスレッド作成によりコンピュータの動作が不安定になる可能性があります。


注意:
  • Microsoft FrontPage またはその他の Web ページ作成プログラムをお使いの場合、そのコンピュータ上には IIS がインストールされている可能性があります。
  • IIS ログファイルに追加される文字列など、さらに詳しい情報については、下記 URL にある CERT Cordination Center のページ (英語) をご覧ください。

    http://www.cert.org/incident_notes/IN-2001-08.html (英語)
  • 米国クエスト社によると、DSL 回線を利用していて、かつ、シスコ製の通信モデム 675/678 を使用している場合、通信モデムがこのワームの影響を受けるおそれがあります。詳しくは、下記サイトをご覧ください。

    http://www.qwest.com/dsl/customerservice/coderedvirus.html (英語)

    CodeRed およびシスコ製品 (ハードウェア、ソフトウェア) に関する問題点について詳しくは、下記サイトをご覧ください。

    http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml (英語)
  • ポート 80 で受信待機するように設定されているヒューレット・パッカード社製 Jet Direct カードも、サービス拒否攻撃を受けるおそれがあります。


推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Eric Chien

発見日: July 16, 2001
更新日: February 13, 2007 11:37:00 AM
別名: W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm
種別: Worm
感染サイズ: 3569
影響を受けるシステム: Microsoft IIS
CVE 識別番号: CVE-2001-0500 CVE-2001-0506


Symantec Security Response では、お使いのコンピュータの脆弱性を評価し、CodeRedワームとCodeRed IIを駆除するツールを配布しています。CodeRed駆除ツールを入手するには、 こちら をクリックしてください。

何らかの理由でこのツールを利用できないか、あるいは入手できない場合は手動で駆除する必要があります。

このワームを手動で駆除するには:


記述: Eric Chien