ELF_SADMIND.A - 2001/5/17
新種ウイルス警報「ELF_SADMIND.A」検索ツール無償提供開始
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、サン・マイクロシステムズ株式会社Solarisのセキュリティホールを利用したワーム活動および、マイクロソフト株式会社Microsoft Internet Information Server(以下:IISサーバ)が動作中のWebサーバのWebコンテンツを改ざんするハッキング活動を行うワーム「ELF_SADMIND.A」(エスアドミンディー、またはサッドマインド)の新種ウイルス警報VAC-3※1を警告すると同時に、パターンファイル889以降で対応することをお知らせいたします。
さらに、このワームの構成ファイルを自動的に検出する検出ツールを当社Webサイトからの無償提供を開始しました。(http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2662)
システム管理者は今すぐウイルスチェックをする事をお勧めします。
なお、本ワームに関しては、サン・マイクロシステムズ株式会社、マイクロソフト株式会社より対応パッチが同社Webサイトより提供されておりますので、そちらのサイトもご参照ください。
「ELF_SADMIND.A」概要
「ELF_SADMIND.A」は5月8日付で米国のセキュリティ団体であるCERTが警告を出した新種ワームです。既に日本でもこのワームを利用して、官公庁のホームページが改ざんされるなどの被害報告が確認されており注意が必要です。
「ELF_SADMIND.A」はワームに分類されるトロイの木馬型不正プログラムで、Solarisのセキュリティホールを利用し、インターネット上で自身のコピーを頒布するワーム活動を行います。また、Windows NT Server / Windows 2000 ServerのウェブサーバであるIISサーバのセキュリティホールを攻撃してWebコンテンツを改ざんするハッキング活動も行います。
Webが改ざんされた場合は被害を受けたことを自覚できますが、ワームが実際に活動しているSolaris側では表面的な活動は行わないので感染していることを気がつかない場合が多いようです。Solarisのセキュリティホールを放置し、このワームを活動させておくと、ワーム活動の踏み台となってしまい結果的にWeb改ざんに至る感染活動の加害者になってしまいます。
システム管理者の方は感染チェックを行うと同時に、Solaris、IISサーバのセキュリティホールにパッチを当ててください。
- 「ELF_SADMIND.A」の侵入 このウイルスはインターネットを介してSolarisに侵入します。侵入すると同時にウイルスは自身のコピーを作成し、そのバックグラウンドで活動を開始します。表面的な活動は行わないのでWebが改ざんの被害にあうまでは気がつかない場合が多いようです。
- 感染活動
1.ワーム活動
インターネット上でセキュリティホールを持つSolarisを探し出し感染を広げるワーム活動を行います。
2.インターネット上でセキュリティホールを持つIISサーバを探し出しWebの改ざんを試みます。ハッキングを試み成功するとWebが改ざんされてしまいます。
注意事項
- システム管理者は一度ウイルス感染チェックを行ってください。 当社ホームページより検索ツールを提供しております。
「ELF_SADMIND.A」検索ツール掲載URL:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2662 - このウイルスはSolaris、IISサーバのセキュリティホールを狙ったものです。セキュリティホールに対するパッチを適切にあてることによりウイルスの感染および、Webの改ざんから守ることができます。
「ELF_SADMIND.A」が利用するセキュリティホールの詳細およびその対策については、Solaris販売元「サン・マイクロシステムズ株式会社」およびIISサーバ販売元「マイクロソフト株式会社」の以下URLをご参 照ください。
Solarisのセキュリティホールについて
http://www.sun.co.jp/corp/notice.html
IISのセキュリティホールについて
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
トレンドマイクロ製品ユーザ様向けソリューション
パターンファイル889以降、検索エンジン5.230以上で対応しています。 (最新パターンファイル・検索エンジンでのご使用をお勧めします)
「ELF_SADMIND.A」検索ツール(SPARC/X86両用)を当社Webサイトにて提供
ワームの構成ファイルを自動的に検出する検出ツールを当社ホームページよりダウンロードいただけます。「ELF_SADMIND.A」検索ツール掲載URL:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2662
※注意:本プログラムは「ELF_SADMIND.A」検出専用です。他の用途には使用しないでください。ウイルス検出以外の動作に関しまして弊社では責任を負いかねます。当プログラムは無償ツールであり、弊社サポート対象外です。
・トレンドマイクロでは、各企業のセキュリティ担当者様が素早い対応を行えるよう、ホームページ上でのウイ ルス情報(http://www.trendmicro.co.jp/virusinfo/index.asp)による情報提供も開始しています。
ウイルス情報
ウイルス名 | ELF_SADMIND.A |
別 名 | PERL_SADMIND.A, SADMIND.IIS |
プラットフォーム | Solaris2.6/7.0 (x86/SPARC) |
暗号化 | なし |
発見日 | 2001年5月 |
発病条件 1 | ファイル実行時 |
破壊活動 1 | ワーム活動 |
破壊活動 2 | Webページの改竄 |
※1 新種ウイルス警報VAC(Virus Alert Code)
新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示。(VAC-1が最も脅威度が高い)
※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名及び製品名は、各社の商標又は登録商標です。
