TROJ_NIMDA.A - 2001/9/19
新種ウイルス警報 VAC2「TROJ_NIMDA.A」
PE_NIMDA.A 対策Web
~ 自動駆除ツール無償提供中 ~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、ウイルスを拡散するワーム活動やハッキングツールを埋め込むことを試みるワーム「TROJ_NIMDA.A」(ニムダ)の新種ウイルス警報VAC-2(※1)を警告すると同時に、エンジン5.200以上パターンファイル941以降で対応したことをお知らせいたします。
「TROJ_NIMDA.A」ウイルスは、マイクロソフト社のIISのセキュリティホールを利用してパッチのあたっていないWebサーバに不正なJAVAスクリプトをうめこみます。
一次感染
ユーザがこのウイルスによって改ざんされたホームページを訪れると「readme.eml」(拡張子emlはOutlook Expressのメール形式)を自動的にオープンさせます。ユーザのマシンにInternet Explorerのセキュリティホールのパッチが適用されていない場合、ウイルスに感染してしまいます。ウイルスは自身のSMTP(メール)エンジンを使用してウイルス付メール(「readme.exe」という添付ファイル)を自動的に送信し感染を拡大していきます。同時に、ランダムなIPアドレスをアクセスして、IISのパッチがあたっていないWebサーバの場合、同様にウイルスを埋め込む攻撃をしかけます。
二次感染
また、ウイルスは感染したマシンのA~Zまでのドライブにウイルス自身をコピーし、共有したネットワークドライブを介しても感染を広げます。同時にウイルスはユーザのマシンの中のHTMLファイルを改ざんし、JAVAスクリプトを埋め込みますので、そのユーザがHPを公開している場合、HPを訪れた新たなユーザはウイルスに感染することになります。ウイルス付メールを受け取った新たなユーザがOutlook ExpressまたはOutlookを利用し、かつInternet Explorerのセキュリティホールのパッチが適用されていない場合には、メールを見る(プレビュー機能)だけでウイルスに感染(ダイレクトアクション)します。
9月18日に感染被害が確認され、米国では既に、保険業界、通信企業、製造業などのFortune500に入る大規模企業で感染が多数確認されています。日本国内でも昨夜からいくつかのHPに不正なJAVAスクリプトが埋め込まれていたため、現在非常に早いスピードで被害を広げています。今後ますます感染が拡大する可能性があるため注意が必要です。トレンドマイクロでは、ユーザ様や企業のセキュリティ担当者様が素早い対応を行えるようホームページ上で最新のウイルス情報を提供をしています。
http://www.trendmicro.co.jp/virusinfo/index.asp
(※1)新種ウイルス警報VAC(Virus Alert Code)
新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示。(VAC-1が最も脅威度が高い)
「TROJ_NIMDA.A」ウイルス概要
■ 感染対象
Windows 環境のPC、IISのセキュリティパッチのあたっていないWEBサーバ
■ 感染経路
- ワーム活動
- Webの改ざん(不正なJAVAスクリプトを埋め込む)
■ 感染を防ぐための注意事項路
- 「readme.exe」という添付ファイルを開かないでください。
- ネットワーク共有をいったんはずしてください。
- マイクロソフト社のInternet Explorer(IE)を使用している場合、最新のセキュリティパッチ(IE5.01 SP2もしくはIE5.5 SP2以上)を適用してください。
■ ソリューション
トレンドマイクロ製品ユーザ様向けソリューション
パターンファイル941以降、検索エンジン5.200以上で対応しています。 (最新パターンファイル・検索エンジンのご使用をお勧めします。)
現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、30日間有効期間中フル機能でご使用できる「ウイルスバスター2001」体験版をダウンロード、検知した場合手動削除手順にて削除してください。 トレンドマイクロ社ホームページより、「ウイルスバスター オンラインスキャン」にてマシンのウイルスチェックを実行し、検知した同様に手動削除してください。。
※詳細がわかり次第、続報を出す予定です。
※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。
