-----BEGIN PGP SIGNED MESSAGE-----

各位

                                                  JPCERT-AT-2001-0019
                                                            JPCERT/CC
                                                           2001-08-06

                  <<< JPCERT/CC Alert 2001-08-06 >>>

                "Code Red" Worm の変種に関する注意喚起

                    New Variant of "Code Red" Worm

             http://www.jpcert.or.jp/at/2001/at010019.txt

  Microsoft IIS の .ida ファイルに関する脆弱性を使って、IIS の動作する
コンピュータに侵入し、結果的にサービス運用妨害 (DoS) を引き起こす可能
性のある「"Code Red" Worm」の変種が発見されました。また JPCERT/CC でも、
このワームの活動によると思われる、脆弱性の探査の試みについての情報を多
数得ています。

  このワームは、これまでの Code Red Worm よりも強い感染力を持っている
ことが報告されています。以前の Code Red Worm と異なり、バックドアを仕
掛けるなど、システム自体の改ざんを行なうことがあるため、感染したホスト
を再起動しても復旧できない可能性があります。したがって感染してしまった
場合は、ハードディスクをフォーマットした上で OS を再インストールするこ
とを強くお勧めいたします。

  このワームが侵入を試みた Web サーバのログには以下のように記録される
ことが報告されています (実際は 1行です)。

    GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u685
    8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
    9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

  ※ 以前の Code Red Worm では以下のように記録されます (実際は 1行です)。

    GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
    NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
    NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
    NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685
    8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
    9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

  上記の記録がログに残っていて、且つ IIS の修正用のパッチを適用してい
ない場合は、次のように実行して感染しているかどうかを確認してください。
まず Web ブラウザなどのアプリケーションが起動されていない状態であること
を確認した上で、コマンドプロンプトにおいて netstat -an コマンドを実行
してください。そこで表示された結果として以下のような記述が多数存在する
場合はワームに侵入された可能性が極めて高いと判断できます。

     TCP   自ホストのIPアドレス:数字   他のホストのIPアドレス:80

  また、管理者が気が付かずに IIS が稼動してしまっていることがあります
ので、タスクマネージャなどでプロセスを確認してください。

  修正用のパッチは 6月にベンダから無償で提供されています。ただし公開さ
れているパッチは、Windows NT 4.0 の場合は Service Pack 6a、また
Windows 2000 の場合は Service Pack 1 または Service Pack 2 に対するパッ
チです。したがってパッチを適用する前に、あらかじめ該当する Service
Pack をシステムにインストールしておく必要があります。

  Service Pack のインストールが不可能もしくは極めて困難な場合は、一時
的な対応策として、IIS における .ida および .idq のスクリプトマッピング
を削除することをお勧めします。しかしこの対応方法では、関連するソフトウェ
アをインストールすることでスクリプトマッピングが復元されてしまうことが
ありますのでご注意ください。

  今後も更に変種の Code Red Worm が作られる可能性が高いと考えられます。
IIS を使用されている場合は、至急抜本的な対策を施されることを強くお勧め
いたします。


[関連文書]
  Microsoft IIS の脆弱性を使って伝播するワーム
  http://www.jpcert.or.jp/at/2001/at010018.txt

  "Code Red" Worm の伝播活動再開に関する注意喚起
  http://www.jpcert.or.jp/at/2001/at010017.txt

  Microsoft Security Bulletin(MS01-033)
  http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡下さい。

======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbRZIx1ay4slNTtAQH62gP/aIyo2BYrJFupKFEV9kHc/2CvftCYR6X9
H+TAD8ZDOpkmGgHLiMOqQCerarStc7lLEHH3lltihuDvwq8itFquhHie+FSkX4lU
9GxlxgrrQnCzjHIGMwMIcFhhqsfXd/2P1ZdufhMs4OWwgz3l31fRgibQFcrVBVB4
61P+xPOdOJc=
=4KiW
-----END PGP SIGNATURE-----