PE_NIMDA.A
「PE_NIMDA.A」ウイルスは、マイクロソフト社のIISのセキュリティホールを利用してパッチのあたっていないWebサーバに不正なJAVAスクリプトをうめこみます。
一次感染
ユーザがこのウイルスによって改ざんされたホームページを訪れると「readme.eml」(拡張子emlはOutlook Expressのメール形式)を自動的にオープンさせます。ユーザのマシンにInternet
Explorerのセキュリティホールのパッチが適用されていない場合、ウイルスに感染してしまいます。ウイルスは自身のSMTP(メール)エンジンを使用してウイルス付メール(「readme.exe」という添付ファイル)を自動的に送信し感染を拡大していきます。同時に、ランダムなIPアドレスをアクセスして、IISのパッチがあたっていないWebサーバの場合、同様にウイルスを埋め込む攻撃をしかけます。
二次感染
また、ウイルスは感染したマシンのA〜Zまでのドライブにウイルス自身をコピーし、共有したネットワークドライブを介しても感染を広げます。同時にウイルスはユーザのマシンの中のHTMLファイルを改ざんし、JAVAスクリプトを埋め込みますので、そのユーザがHPを公開している場合、HPを訪れた新たなユーザはウイルスに感染することになります。ウイルス付メールを受け取った新たなユーザがOutlook
ExpressまたはOutlookを利用し、かつInternet Explorerのセキュリティホールのパッチが適用されていない場合には、メールを見る(プレビュー機能)だけでウイルスに感染(ダイレクトアクション)します。
9月18日に感染被害が確認され、米国では既に、保険業界、通信企業、製造業などのFortune500に入る大規模企業で感染が多数確認されています。日本国内でも昨夜からいくつかのHPに不正なJAVAスクリプトが埋め込まれていたため、現在非常に早いスピードで被害を広げています。今後ますます感染が拡大する可能性があるため注意が必要です。トレンドマイクロでは、ユーザ様や企業のセキュリティ担当者様が素早い対応を行えるようホームページ上で最新のウイルス情報を提供をしています。
http://www.trendmicro.co.jp/virusinfo/index.asp
(※1)新種ウイルス警報VAC(Virus Alert Code)
新種ウイルスの感染力・破壊力などから脅威度を1〜5までのレベルで表示。(VAC-1が最も脅威度が高い)
--------------------------------------------------------------------------------
「PE_NIMDA.A」ウイルス概要
--------------------------------------------------------------------------------
■ 感染対象
Windows 環境のPC、IISのセキュリティパッチのあたっていないWEBサーバ
■ 感染経路
1. ワーム活動
2. Webの改ざん(不正なJAVAスクリプトを埋め込む)
■ 感染を防ぐための注意事項路
・ 「readme.exe」という添付ファイルを開かないでください。
・ ネットワーク共有をいったんはずしてください。
・ マイクロソフト社のInternet Explorer(IE)を使用している場合、最新のセキュリティパッチ(IE5.01 SP2もしくはIE5.5 SP2以上)を適用してください。
|