CODERED.C - 2001/8/7
ウイルス警報 VAC3「CODERED.C」
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は マイクロソフト株式会社Microsoft Internet Information Server(以下:IISサーバ)のセキュリティホールを狙う「CODERED.A」 (コードレッドエー)の亜種「CODERED.C」(コードレッドシー)に対し、ウイルス警報VAC-3(※1)を警告すると同時に、 パターンファイル923以降で対応したことをお知らせします。
さらに、8月1日付で提供を開始している「CODERED」とIISのセキュリティホールの検出ツールに加え、 「CODERED.C」の無償自動駆除ツールを本日より弊社Webサイトから提供開始します。
IISのセキュリティホールを狙う「CODERED」は、感染に気がつきにくいため日本国内でも多数のサーバが感染している可能性があり、さらに被害が拡大することが予想されるため、改めて警報を出し注意を促します。
(※1)新種ウイルス警報VAC(Virus Alert Code)
新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示。(VAC-1が最も脅威度が高い)
「CODERED.C」ウイルス概要
「CODERED.C」はIISサーバのセキュリティホールを狙いウイルスを拡散するワーム活動を行うという点が「CODERED.A」と同じですが、その後、システムを改ざんし、ハッカーのバックドアツール (ハッカーがしのびこむための裏口)となるトロイの木馬型ワーム "EXPLORER.EXE" をサーバに仕掛けるという危険な行動を行います。 (Web改ざんは行いません。)ハッカーはこのバックドアが仕掛けられたWebサーバのコントロールを乗っ取り、 外部から自由にアクセスできるようになるため非常に警戒が必要です。
バックドアを仕掛けられてしまった場合、既に悪用されている可能性があるため、(ウイルスの駆除だけでなく)システムの徹底的なチェックをお勧めします。
ウイルス詳細情報:http://www.trendmicro.co.jp/virusinfo/index.asp
無償自動駆除ツールについて
● 「CODERED.C」自動駆除ツールの無償提供を開始いたしました。是非お役立て下さい
URL: http://www.trendmicro.co.jp/virusinfo/index.asp
● 自動駆除ツールの概要
- メモリの検索 メモリを検索し、「CODERED.C」が活動中かどうかを調べます。活動中だった場合には活動を停止させます。
- ファイル削除 「CODERED.C」がコピーするハッキングツール"javascript:void(null);"およびバックドアの"root.exe"を削除します。
- レジストリ修復
※ 注意:本ツールはWindows2000及びWindowsNTのコマンド プロンプト上で動作します。
「CODERED.C」の活動
■ 感染対象先
Windows 2000、Windows NT(日本語版、中国語版のみ)上のWebサーバであるIISサーバ
※「CODERED.C」は他の亜種と異なり、Windows2000上でのみ活動が行えます。Windows NT上でワームが実行された場合、プログラムのエラーによりマシンハングを招く場合があります。ただしWindows NTの中国語環境および日本語環境では動作する場合があります。
■ 感染および侵入活動
1. ワーム活動
[1] 子スレッドの作成
ワームは自身の子スレッドを300個又は600個作成します。
- Windowsの言語設定が「中国語」だった場合:600個の子スレッド
- Windowsの言語設定が「中国語」以外の場合:300個の子スレッド
[2] セキュリティホールへの侵入
各スレッドはそれぞれランダムなIPアドレスを作成し(スレッド数が300個だった場合はIPアドレスも300個)、 セキュリティホールを狙ったHTTPアクセスを試みます。
セキュリティホールを持ったIISサーバを発見した場合、ワームはウイルスコードを送りこみ、 メモリ上で自動的に感染活動を開始します。ファイルとして存在するわけではないため、この段階ではウイルスを検出できません。
2. 不正アクセスの準備
子スレッドの起動後、ワームはシステム改ざんを行うと同時に "EXPLORER.EXE"というバックドアツールを仕掛けます。
EXPLORER.EXE は外部からのアクセスに対しフルコントロールを与えるためのツールで、 ハッカーはこれを使ってリモートで自由にサーバを操れるようになります。
■ ソリューション
[1] マイクロソフト株式会社から提供されているパッチを適用ください。
このウイルスはIISサーバのセキュリティホールを狙ったものです。 セキュリティホールに対するパッチを適切にあてることによりウイルスの感染から守ることができます。 また感染防止対策を行ったコンピュータは、変種にも感染しません。
参照URL(マイクロソフト株式会社)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
[2] 既にバックドアが仕掛けられている可能性もありますので、ファイルサーバ用ウイルス対策製品または 「ウイルスバスターOn-Line Scan」によるウイルスチェックも同時に行ってください。
トレンドマイクロ社ファイルサーバ用ウイルス対策製品「ServerProtect」をお使いのお客様は、最新のパターンファイルおよび、最新の検索エンジンでウイルスチェックを行ってください。
トロイの木馬型ワーム"EXPLORER.EXE"はトレンドマイクロ製品では「TROJ_CODERED.C」のウイルス名で検出されます。 これは単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。 一個のプログラムなので駆除は行えないため、検出したファイルはファイルごと削除してください。
※On-Line Scanプログラムは、弊社のサポート対象外となります。 動作等に関するお問い合せには、 お答えいたしかねますので、あらかじめご了承ください。
■ ウイルス情報
| ウイルス名 | CODERED.C |
| 別 名 | CODERED II,CODERED.v3,CODERED,TROJ_CODERED.C |
| ウイルス種類 | トロイの木馬型ワーム |
| 言 語 | 英語 |
| プラットフォーム | Windows 2000、Windows NT(中国語版、日本語版 のみ) |
| 暗号化 | なし |
| 対応パターン# | 923 |
| 破壊活動 [1] | ワーム活動 |
| 破壊活動 [2] | ウイルスドロッパー活動 |
※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。
