TROJ_CODERED.C
「CODERED.C」
詳 細: -
WindowsNT/2000のWebサーバーであるIISのセキュリティホールを利用してワーム活動を行うワームで、「CODERED.A」の亜種です。 基本的な情報は「CODERED.A」の詳細情報をご参照ください。
なお、トレンドマイクロ社より「CODERED.C」の専用駆除ツールが提供されておりますので
併せてご確認下さい。
活動:
他の亜種と異なり、「CODERED.C」はWindows2000システムの機能を利用するのでWindows2000上でのみ活動が行えます。WindowsNT上でワームが実行された場合、プログラムのエラーにより最悪マシンハングを招きます。
また、「CODERED.C」の活動には以下のシステムファイルが必要です: USER32.DLL、ADVAP32.DLL、WS2_32.DLL
活動可能な環境だった場合、サーバーに侵入した「CODERED.C」は以下の活動を行います:
1)ワーム活動:
ワームのプロセスのプライマリスレッドは自身の子スレッドを300ないし600個作成します。Windowsの言語設定が「中国語」だった場合600個、「中国語」以外の場合には300個の子スレッドが作成されます。作成された子スレッドはワーム活動を繰り返し行います。各スレッドはそれぞれランダムなIPアドレスを作成し、セキュリティホールを狙ったHTTPアクセスでワームのコードを送信します。ワームがアクセスしたIPアドレスにセキュリティホールを持ったIISサーバーが存在した場合、ワームに侵入されてしまいます。
2)不正アクセスの準備:
子スレッドを起動したあと、ワームのプライマリスレッドはWindowsのシステムファイルである"cmd.exe"を以下のパスにコピーします:
c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\program files\common files\system\MSADC\root.exe
d:\program files\common files\system\MSADC\root.exe
また、c:ドライブのルートディレクトリには
"EXPLORER.EXE"
というファイルを作成します。このファイルは外部からのアクセスに対しフルコントロールを与えるためのツールです。トレンドマイクロ製品では「TROJ_CODERED.C」のウイルス名で検出されます。
また、Windowsのレジストリに以下のキーと値を追加します:
・キー:HLEY_LOCAL_MACHINE\Software/Microsoft\Windows NT\Current Version\WinLogon\SFCDisable
・場所:HLEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual
Roots 値:/Scripts = %rootdir%\inetpub\scripts,,204
/MSADC = %rootdir%\program files\common files\system\msadc,,205
/C = C:\,,217
/D = D:\,,217
これはハッカーが外部からのアクセスによりWebサーバーのフルコントロールが得られるようにするための下準備です。ハッカーはこのお膳立てが整えられているWebサーバーに対し「「Shell
の相対パス」の脆弱性(Relative Shell Path Vulnerability)」と呼ばれるセキュリティホールを利用することによって「TROJ_CODERED.C」を実行し、Webサーバーに対してフルコントロールを得ることができます。
備 考:
このワームが利用するIISの「remote buffer overflow vulnerability」に関しましてはマイクロソフト社の説明をご確認の上、対応のセキュリティパッチを導入してください。
参考:
・[IIS] ISAPI エクステンションの未チェックのバッファによりサーバーへの攻撃が可能に
・Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される (MS01-033)
-
単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。一個のプログラムなので駆除は行えません。検出したファイルはファイルごと削除してください。
|