W32/Nimda

W32/Nimda 2001/9/21現在

一ヶ月前にCodeRedについて書いたりしてましたが。。。今回はもっと強力とか。
動作としては、メール感染、Web感染、ファイル感染の3種類。
それでは説明を・・・

・概要

W32/Nimdaは、Internet Explorer(IE)とInternet Information Server(IIS)の脆弱性を利用し、
多数の感染方法を持つ新しい大量メール送信のワームです。
先にも説明した通り、このワームは3種類の感染方法を持ち、
ワームは電子メールを自分自身に送り、有効なネットワーク共有を捜して、
修正プログラムが適用されていないMicrosoft IIS Web サーバにワーム自身をコピーしようと試みます。
また、ローカルおよびリモートネットワーク両方にあるファイルに感染するウィルスでもあります。
このワームはサーバとPCの両方に対して攻撃を仕掛けるため，大量のインターネットトラフィックを発生させます。

・対象

Win95、98、Me、2000とサーバーマシン。
またApach使用のUNIXがワームの攻撃でクラッシュしたという情報も。

・動作

（1）ワーム自身を「Readme.exe」という名前で電子メールに添付して送信する。
（2）MicrosoftのWebサーバソフト「Internet Information Server」（IIS）を走らせている脆弱なサーバをスキャンし，感染する。
（3）自身をネットワークの共有ディスクドライブにコピーする。
（4）感染したサーバ上にあるWebページにJavascriptを埋め込んで，そのページにアクセスしたPCに自身をダウンロードさせる。

・メールでの動作

Nimbaは基本的にOutlookExpressのメール形式で送られ、HTML形式のメールで、
「readme.exe」というファイルが添付されています。
IE 5.01/5.5には「不適切なMIMEヘッダーが原因でInternetExplorerが電子メールの添付ファイルを実行する(MS01-020)」
というセキュリティホールがある為、このセキュリティホールを修正していない場合、
メールをプレビューした時点で（！）readme.exeが実行され、ウイルスに感染します。
添付ファイルを実行しなくとも、開いてしまうだけで感染してしまうのです。恐るべし。
ウイルスに感染すると、ハードディスク内のランダムなファイルを
拡張子.emlのファイルで置き換える、といった行動を起こします。

そして大量のメールを送信します。
メールの送信ルーチンは、電子メールアドレスの検索から実行を開始します。
ワームはローカルシステム上に存在する.htm、.htmlファイルに含まれる電子メールアドレスを探すのと同時に、
MAPIを使って、電子メールクライアントの受信トレイ内にあるメールを調べます。
Microsoft OutlookやOutlook Expressも含め、MAPI対応の電子メールクライアントはすべて、このワームの影響を受けます。
そしてワームは、入手したメールアドレスを、差出人と宛先のアドレスとして使用します。
つまり、ワームが送信するメールの差出人の欄に表示されるメールアドレスには、
感染しているユーザのアドレスは使用されず、他のユーザーの名前が使用されてしまうのです。
ですので、いきなり送り主を怒ったりするのはやめましょう（笑）。

・システム改ざんの動作

Nimdaは実行されるとまず、その実行元となっている場所を調べ、Windows ディレクトリ内のMMC.EXEに上書きするか、
Windowsのテンポラリディレクトリ内に自分自身のコピーを作成します。
次に、ワームは実行ファイルに感染し、自分自身を.emlファイルおよび.nwsファイルとして作成し、
ローカルドライブ上にある.docファイルが含まれるディレクトリすべてに自分自身をRiched20.dllとしてコピーします。
ワームは、次のレジストリキーにリストされているパスに含まれるファイルをすべて検索します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

その後、ワームはsystem.iniを次のように改変することによってシステムをフックします。

Shell= explorer.exe load.exe -dontrunold

また、ワームはRiched20.dllファイルを、同名の自分自身のファイルで置き換えます。
Riched20.dllはMicrosoft Wordなどのアプリケーションに使用されるWindowsの正規の.DLLです。
このDLLを置き換えることによって、Microsoft Wordなどのアプリケーションが実行されるたびに毎回、
ワームが実行されるようになります。
ワームはまた、自分自身をサービスプロセスとして登録するか、自分自身をエクスプローラのプロセスに
リモートスレッドとして追加します。その結果、ユーザがログオンしていないときでも
ワームは実行し続けることが可能になります。
一連の動作として。。。まずワームのコピー。

%Windows\System%\load.exe

次に、以下のレジストリキーを改変することによって、感染したコンピュータ上のすべてのドライブに
オープンなネットワーク共有を作成します。

HKLM\Software\Microsoft\Windows\
CurrentVersion\Network\LanMan\[C$ -> Z$]

あまりレジストリ関係詳しくないので、ここらへんは他のページ参照しました。
間違ってたらスミマセン。

その後ワームは、マイネットワーク全体を調べると同時に、ランダムに作成したIPアドレスで検索することによって、
ネットワーク上で開いている共有をすべて探し出し、そこにあるすべてのファイルをチェックして、
感染対象となるファイルを探します。WINZIP32.EXEを除くすべての.EXEファイルはワームに感染してしまいます。
次に、.EML、.NWSファイルを開いているネットワーク共有にコピーし、
.DOCファイルを含むフォルダすべてに自分自身をRiched20.dllとしてコピーします。
その後、エクスプローラの設定を隠しファイル、および登録されているファイルの拡張子を表示しないように変更します。
さらに、Guestsグループと Administratorsグループにゲストユーザを追加することによって、
ゲストアカウントに管理者権限を与えます。さらに、ワームはC$ = C:\を共有します。
この設定はコンピュータが再起動されなくても有効になります。
ここまでくるともう、めちゃくちゃですね。

・ファイル感染の動作

ワームは.EXEファイルにも感染しようとします。
最初に、発見した.exeファイルがすでに感染しているかどうかをチェックし、感染していない場合は、
テンポラリディレクトリ内に自分自身のコピーを作成し、そのファイルに標的となった.exeファイルを埋め込み、
それを元々の.exeファイルに上書きして置き換えます。感染した実行ファイルのサイズは約57,344 バイトになります。
感染したファイルが実行されると、ワームは、元々の感染していないファイルを抽出したテンポラリファイルを作成し、
ワーム自身と共にそれを実行します。
また、ワームが実行中、自分自身のコピーの削除を試みることがあります。
そのファイルが使用中あるいはロックされている場合、ワームはコンピュータの再起動時に
自分自身を削除するエントリを含むWININIT.INIを作成します。
このワームがファイルに感染するとき、Windowsテンポラリディレクトリ内に、
次の名前のテンポラリファイルが大量に作成される可能性があります。

mep[nr][nr][letter][nr].TMP.exe
mep[nr][nr][letter][nr].TMP

どちらの名前で作成された場合でも、これらのファイルには隠しファイル属性とシステムファイル属性が設定されます。
このワームにはバグがあり、また、リソースへの依存性が高いため、すべての感染活動が行われるとは限りません。
また、システムが顕著に不安定になる可能性があります。

・webでの感染

上記のように、NimdaはランダムなIPアドレスに対しても攻撃を仕掛け、
Internet Information Server(IIS) 4.0/5.0のセキュリティホールを修正していないWebサーバーを探し出し、
Webサーバーに侵入、ウイルスをWebサーバーに埋め込むという攻撃を行こないます。
ワームは自分自身をadmin.dllとしてTFTP経由でWebサーバにコピーします。
感染したコンピュータは、ワームのコピーを転送するために待機するTFTPサーバ（ポート69/UDP)を作成します。
このファイルはそのwebサーバ上で実行され、さらに多くの場所にコピーされていきます。
ワームはこの脆弱性を攻撃することに加え、外部から実行可能なWebディレクトリ内にあるroot.exe
またはcmd.exeを使ってすでに攻撃されて無防備になっているwebサーバも攻撃します。
その後、ファイル名がdefault、index、main、readmeのファイル、および、拡張子が.htm、.html、.aspのファイルに
JavaScriptを追加して改変します。そのJavaScriptは、感染しているWebページを訪れたユーザに対し、
ワームによって作成されたreadme.emlを返し、そのメールには、MIMEの脆弱性が悪用されている為、
感染しているWebページを閲覧するだけで、そのユーザのコンピュータも感染してしまいます。
このIISのセキュリティホールは、「「Web サーバーフォルダへの侵入」の脆弱性に対する対策 (MS00-078)」で、
ウイルスに侵入されたWebサーバーが公開するWebサイトを閲覧した場合、上記同様、自動的に「readme.eml」が実行され、
閲覧者もウイルスに感染します。

・対策方法

Microsoftのページからパッチを当てましょう。IEなら5.5のSP2にすれば大丈夫らしいです。
Webから感染するウイルスがはやっていますので、Web見るときはActiveXやJava関係をOffにして、
怪しいメールは開かないと。。。
でも添付開かないで、見ただけで感染するのは防ぐのきついですね。
Microsoft製品を使わないのが一番安全かと。他のメールソフトもたくさんありますしね。

back

SEO		[PR] 爆速!無料ブログ無料ホームページ開設無料ライブ放送