|
| 「Code Red」ワームにご注意ください |
| 2001.08.10発表 |
参照数:4756 |
「Code Red」ワームにご注意ください
「Code Red」ワームにご注意ください
お客様各位
先月より「Code Red」と呼ばれるワームの被害が多数報告されております。
このワームはInternet Information Server (IIS) の脆弱性 (MS01-033) を利用し、
Index Server 2.0 以降 と IIS の双方がインストールされている全ての環境に影響を
及ぼす物です。
Index Server 2.0 以降 および IIS が導入されている可能性のあるシステムは以下の通りです。
●対象マシン
・ Option Pack のインストールされているWindows NT Server 4.0 または Windows NT Server
Enterprise Edition 4.0
・ Windows NT Server 4.0 Terminal Server Edition
・ Windows 2000 Server, Windows 2000 Advanced Server または Windows 2000 Datacenter Server
・ Windows 2000 Professional
・ Windows Powered 等のアプライアンス製品
・ Small Business Server
・ BackOffice Server
・ Windows XP Technical Beta (Build 2505 未満のビルド)
・ Windows XP プレビュープログラム (対処済みです)
● 詳細情報
Code Red、及びCode Redワームの新種であるCode Red2, 3 が現在IISサーバに被害を与え続けています。
特に新種のワームでは以下の被害をサーバにもたらす可能性があり、非常に深刻
なものです。
・ 多大なトラフィックによるインターネット、および LAN の速度低下
・ コンテンツの改ざん
・ IIS の異常停止 (サービスの停止)
・ トロイの木馬の設置
上記対象マシンに含まれた環境を使用し、修正プログラムを適用されていない
お客様は至急、この問題に対する修正プログラムの適用を行ってください。
感染の有無にかかわらず、上記対象マシンに含まれた環境を使用し、修正プログラムを適用されていないお客様は至急、この問題に対する修正プログラムの適用を行ってください。
●新Code Redのバックドアについて
新Code Redワームに感染した場合、改ざんされたバージョンの explorer.exe が
C:\explorer.exe
D:\explorer.exe
に作成される他、 IIS 仮想ディレクトリ scripts と msadc 上に CMD.EXE のコピーである root.exe の作成、 C:\ および D:\ へマップするIIS の仮想ディレクトリ c および d の作成、 システムレジストリの改ざん、 など広範囲に書替えが行われてしまう為、
安全に復旧を行うには、なるべくOSのクリーンインストールとフルバックアップからのリストアをお勧めします。
Code Red ワームから感染を目的とする攻撃を受けると、新/旧でIIS のログに以下のような違いが出ますので、こちらを参考にしてください。
旧Code Redが残すログサンプル
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a
新Code Redが残すログサンプル
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a
● 修正モジュールのダウンロード先
- Windows NT Server 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q300972/default.asp
- Windows 2000 Professional, Server および Advanced Server:
http://www.microsoft.com/windows2000/downloads/critical/q300972/default.asp
- Windows NT 4.0 Terminal Server Edition につきましては、最初にこちらの技
術情報をご参照ください (英語情報)
http://support.microsoft.com/support/kb/articles/Q300/9/72.ASP
- この脆弱性と修正プログラム、インストールに関するマイクロソフトの説明は次
の Web ページでご覧いただけます。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
- Windows NT 4.0 Service Pack 6a 以降のセキュリティ ロールアップ パッケー
ジ (SRP)MS01-033 を含む多くのセキュリティに対する問題に対処できます。
http://www.microsoft.com/japan/technet/security/nt4srp.asp
- 「緊急 : Code Red ワームに対する警告」
http://www.microsoft.com/japan/technet/security/codealrt.asp
- 「Code Red ワームを阻止する修正プログラムのインストール」
http://www.microsoft.com/japan/technet/security/codeptch.asp
株式会社ソーテック
|
|
 |
|
< 前のお知らせ|次のお知らせ >
|リスト表示
|
|