1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Nimda.A@mm
  4. W32.Nimda.A@mm
  • ブックマーク

W32.Nimda.A@mm

危険度2: 低

発見日:
2001 年 9 月 18 日
更新日:
2007 年 2 月 13 日 11:37:30 AM
別名:
W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ
種別:
Worm, Virus
感染サイズ:
57,344バイト
影響を受けるシステム:
Microsoft IIS, Windows
CVE 識別番号:
CVE-2000-0884 CVE-2001-0154

Webサーバを介した感染

W32.Nimda.A@mmは、修正プログラムが適用されていないIIS Webサーバに感染を試みます。Microsoft IIS 4.0および5.0では、Webフォルダ構造を含む論理ドライブ上の任意のフォルダに移動してそのフォルダ内にあるファイルにアクセスするURLを構築することが可能です。この脆弱性に関する情報と修正プログラムについては、下記のページをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms00-078.asp

Webサーバーフォルダの攻撃に成功すると、ハッカーは任意のプログラムをインストールして実行したり、感染したサーバ上にあるファイルやWebページを追加、改ざん、削除できるようになります。ただし、この脆弱性の攻撃に成功するためには、次のような制限があります。
    1. サーバの設定 ― この脆弱性が存在する場合、アクセスが許可されるファイルは、Webフォルダと同じ論理ドライブ上にあるファイルのみです。そのため、例えば、WebアドミニストレータがサーバをシステムファイルはCドライブに、WebフォルダはDドライブにインストールされるように設定していた場合、ハッカーは、この脆弱性を使ってシステムファイルにアクセスすることはできません。

    2. ハッカーはサーバに必ずインタラクティブにログオンする必要があります。

    3. ハッカーが取得できるアクセス権限は、ローカルでログオンするユーザに与えられている範囲に限定されます。 悪意のあるユーザがこの脆弱性を利用しても、IUSR_machinename アカウントに認められている操作しか行えません。

しかし攻撃者は、W32.Nimda.A@mmワームを伝達手段として利用することで脆弱なIISサーバをリモート操作で攻撃し、攻撃にいったん成功すると、IISサーバがどのドライブにインストールされているかに関係なく、管理者権限を使って標的のサーバ上にローカルアカウントを作成します。このワームは、前述の脆弱性を使ったWebサーバーフォルダ侵入手法を使って修正プログラムが適用されていないIISサーバ上のcmd.exeにアクセスします。また、CodeRed IIワームですでに危険にさらされているIISサーバを使って、感染を広げ、Inetpub/scriptsディレクトリからroot.exeにアクセスしようとします。

注意:
Norton AntiVirusのリアルタイム保護機能によって、ユーザのinetpub/scriptsフォルダ内に存在するファイル("TFTP34%4.txt"など)がW32.Nimda.A@mmに感染しているファイルとして検出された場合、そのシステムは以前にCodeRed IIにも感染してセキュリティが低下している可能性があります。その場合はCodeRed駆除ツールをダウンロードして実行し、CodeRed IIを完全に駆除することをお勧めします。CodeRedの駆除ツールはこちらから入手できます。

このワームは、ランダムに生成したIPアドレスに該当するWebサーバを探し出し、前述の「Unicode Web Traversal」と呼ばれる脆弱性を使って、自分自身をadmin.dllとしてTFTP経由でWebサーバにコピーします。感染したコンピュータは、ワームのコピーを転送するために待機するTFTPサーバ(ポート69/UDP)を作成します。

このファイルはそのwebサーバ上で実行され、さらに多くの場所にコピーされます。ワームはこの脆弱性を攻撃することに加え、外部から実行可能なWebディレクトリ内にあるroot.exeまたはcmd.exeを使ってすでに攻撃されて無防備になっているwebサーバも攻撃します。


その後、ファイル名がdefault、index、main、readmeのファイル、および、拡張子が.htm、.html、.aspのファイルにJavaScriptを追加して改変します。そのJavaScriptは、感染しているWebページを訪れたユーザに対し、ワームによって作成されたreadme.emlを返します。そのReadme.emlは、ワームが添付ファイルとして添付されているOutlook Expressの電子メールファイルです。そのメールには、MIMEの脆弱性が悪用されています。したがって、感染しているWebページを閲覧するだけで、そのユーザのコンピュータも感染してしまいます。


システムの改ざん


W32.Nimda.A@mmは実行されると、まず、その実行元となっている場所を調べ、その後、Windows ディレクトリ内のMMC.EXEに上書きするか、またはWindowsのテンポラリディレクトリ内に自分自身のコピーを作成します。

次に、ワームは実行ファイルに感染し、自分自身を.emlファイルおよび.nwsファイルとして作成し、ローカルドライブ上にある.docファイルが含まれるディレクトリすべてに自分自身をRiched20.dllとしてコピーします。ワームは、次のレジストリキーにリストされているパスに含まれるファイルをすべて検索します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

その後、ワームはsystem.iniを次のように改変することによってシステムをフックします。

Shell= explorer.exe load.exe -dontrunold

また、ワームはRiched20.dllファイルを、同名の自分自身のファイルで置き換えます。Riched20.dllはMicrosoft Wordなどのアプリケーションに使用されるWindowsの正規の.DLLです。このDLLを置き換えることによって、Microsoft Wordなどのアプリケーションが実行されるたびに毎回、ワームが実行されるようになります。

ワームはまた、自分自身をサービスプロセスとして登録するか、あるいは、自分自身をエクスプローラのプロセスにリモートスレッドとして追加します。その結果、ユーザがログオンしていないときでもワームは実行し続けることが可能になります。

ワームは自分自身を次の名前のファイルとしてコピーします。

%Windows\System%\load.exe

注意:
Windowsワームは、\Windows\Systemフォルダ(通常はC:Windows\System)が存在する場所に自分自身をコピーするため、パス(%Windows\System%\)の部分は上記とは異なる可能性があります。

次に、以下のレジストリキーを改変することによって、感染したコンピュータ上のすべてのドライブにオープンなネットワーク共有を作成します。

HKLM\Software\Microsoft\Windows\
CurrentVersion\Network\LanMan\[C$ -> Z$]

これらの設定の変更は、コンピュータの次回起動時に有効になります。

ワームは、マイネットワーク全体を調べ、また、ランダムに作成したIPアドレスで検索することによって、ネットワーク上で開いている共有をすべて探し出し、そこにあるすべてのファイルをチェックして、感染対象となるファイルを探します。WINZIP32.EXEを除くすべての.EXEファイルはワームに感染します。

次に、.EML、.NWSファイルを開いているネットワーク共有にコピーし、.DOCファイルを含むフォルダすべてに自分自身をRiched20.dllとしてコピーします。

その後、エクスプローラの設定を、隠しファイル、および、登録されているファイルの拡張子を表示しないように変更します。

さらに、Guestsグループと Administratorsグループにゲストユーザを追加することによって、ゲストアカウントに管理者権限を与えます。さらに、ワームはC$ = C:\を共有します。この設定はコンピュータが再起動されなくても有効になります。


大量メール送信


W32.Nimda.A@mmは、10日おきに起動して実行するように設計されている大量メール送信ルーチンが含まれています。このワームの大量メール送信ルーチンは、電子メールアドレスの検索から実行を開始します。ワームはローカルシステム上に存在する.htm、.htmlファイルに含まれる電子メールアドレスを探します。また、MAPIを使って、電子メールクライアントの受信トレイ内にあるメールを調べます。Microsoft OutlookやOutlook Expressも含め、MAPI対応の電子メールクライアントはすべて、このワームの影響を受けます。ワームは、このようにして入手したメールアドレスを、差出人と宛先のアドレスとして使用されます。。つまり、ワームが送信するメールは、感染しているコンピュータのユーザからではなく、感染したコンピュータ上でNimdaが発見したメールアドレスのユーザから送信されたものに見えます。

ワームは独自のSMTPサーバを使用し、感染したシステムに設定されているDNSエントリを使った電子メールを勝手に送信することで、メールサーバレコード(MXレコード)を取得します。

このワームが電子メールとして届いた場合、ワームは以前から知られているMIMEの脆弱性を使って自動実行します。ただし、この脆弱性に対応した修正プログラムが適用されているシステムの場合、ワームはOutlook(Express)を通じて自動的に起動することはできません。この脆弱性に関する情報は、下記のページをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp


実行ファイルへの感染

W32.Nimda.A@mmワームはまた、.EXEファイルにも感染しようとします。最初に、発見した.exeファイルがすでに感染しているかどうかをチェックし、感染していない場合、テンポラリディレクトリ内に自分自身のコピーを作成し、そのファイルに標的となった.exeファイルを埋め込み、それを元々の.exeファイルに上書きして置き換えます。感染した実行ファイルのサイズは約57,344 バイト増加します。感染したファイルが実行されると、ワームは、元々の感染していないファイルを抽出したテンポラリファイルを作成し、ワーム自身とともにそれを実行します。W32.Nimda.A@mmはこのような感染形態をとるため、ユーザは、実行ファイルが感染していることに気づかない可能性があります。

ワームが実行中、自分自身のコピーの削除を試みることがあります。そのファイルが使用中あるいはロックされている場合、ワームはコンピュータの再起動時に自分自身を削除するエントリを含む Wininit.ini を作成します。

このワームがファイルに感染するとき、Windowsテンポラリディレクトリ内に、次の2つのテンポラリファイルが大量に作成される可能性があります。

  • mep[nr][nr][letter][nr].TMP.exe
  • mep[nr][nr][letter][nr].TMP

これらのファイルには隠しファイル属性とシステムファイル属性が設定されます。

このワームは、以下のポートを使用して次のことを行います。これらのポートはすべて標準ポートであることにご注意ください。
TCP 25 (SMTP) - 無防備なクライアントから取得したアドレスを使って標的のコンピュータに電子メールを送信するために使用します。
TCP 69 (TFTP) - ポート69/UDPを開き、admin.dllをTFTP経由で転送してIISへの感染を拡大するために使用し、また、このプロトコルの一部として、外部に接続してファイルを転送します。
TCP 80 (HTTP) - 無防備なIISサーバを攻撃するために使用します。
TCP 137-139, 445 (NETBIOS) - ワーム転送時に使用します。

さらに、特定シーケンスのバイトを送ってくる接続を監視し、受信した接続要求で指定されたポートを開きます。このポートは、特定範囲に限定されていません。

このワームにはバグがあり、また、リソースへの依存性が高いため、すべての感染活動が行われるとは限りません。また、システムが顕著に不安定になる可能性があります。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。
記述:Eric Chien
危険性の評価| テクニカルノート| 駆除方法
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube