各位
"Code Red" Worm の変種に関する注意喚起
New Variant of "Code Red" Worm
http://www.jpcert.or.jp/at/2001/at010019.txt
Microsoft IIS の .ida ファイルに関する脆弱性を使って、IIS の動作するコンピュータに侵入し、結果的にサービス運用妨害 (DoS) を引き起こす可能性のある「"Code Red" Worm」の変種が発見されました。また JPCERT/CC でも、このワームの活動によると思われる、脆弱性の探査の試みについての情報を多数得ています。
このワームは、これまでの Code Red Worm よりも強い感染力を持っていることが報告されています。以前の Code Red Worm と異なり、バックドアを仕掛けるなど、システム自体の改ざんを行なうことがあるため、感染したホストを再起動しても復旧できない可能性があります。したがって感染してしまった場合は、ハードディスクをフォーマットした上で OS を再インストールすることを強くお勧めいたします。
このワームが侵入を試みた Web サーバのログには以下のように記録されることが報告されています (実際は 1行です)。
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
※ 以前の Code Red Worm では以下のように記録されます (実際は 1行です)。
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
上記の記録がログに残っていて、且つ IIS の修正用のパッチを適用していない場合は、次のように実行して感染しているかどうかを確認してください。まず Web ブラウザなどのアプリケーションが起動されていない状態であることを確認した上で、コマンドプロンプトにおいて netstat -an コマンドを実行してください。そこで表示された結果として以下のような記述が多数存在する場合はワームに侵入された可能性が極めて高いと判断できます。
TCP 自ホストのIPアドレス:数字 他のホストのIPアドレス:80
また、管理者が気が付かずに IIS が稼動してしまっていることがありますので、タスクマネージャなどでプロセスを確認してください。
修正用のパッチは 6月にベンダから無償で提供されています。ただし公開されているパッチは、Windows NT 4.0 の場合は Service Pack 6a、またWindows 2000 の場合は Service Pack 1 または Service Pack 2 に対するパッチです。したがってパッチを適用する前に、あらかじめ該当する ServicePack をシステムにインストールしておく必要があります。
Service Pack のインストールが不可能もしくは極めて困難な場合は、一時的な対応策として、IIS における .ida および .idq のスクリプトマッピングを削除することをお勧めします。しかしこの対応方法では、関連するソフトウェアをインストールすることでスクリプトマッピングが復元されてしまうことがありますのでご注意ください。
今後も更に変種の Code Red Worm が作られる可能性が高いと考えられます。IIS を使用されている場合は、至急抜本的な対策を施されることを強くお勧めいたします。
[関連文書]
Microsoft IIS の脆弱性を使って伝播するワーム
http://www.jpcert.or.jp/at/2001/at010018.txt
"Code Red" Worm の伝播活動再開に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010017.txt
Microsoft Security Bulletin(MS01-033)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
JPCERT-AT-2001-0019
JPCERT/CC
2001-08-06
JPCERT/CC Alert 2001-08-06
"Code Red" Worm の変種に関する注意喚起
New Variant of "Code Red" Worm
http://www.jpcert.or.jp/at/2001/at010019.txt
Microsoft IIS の .ida ファイルに関する脆弱性を使って、IIS の動作するコンピュータに侵入し、結果的にサービス運用妨害 (DoS) を引き起こす可能性のある「"Code Red" Worm」の変種が発見されました。また JPCERT/CC でも、このワームの活動によると思われる、脆弱性の探査の試みについての情報を多数得ています。
このワームは、これまでの Code Red Worm よりも強い感染力を持っていることが報告されています。以前の Code Red Worm と異なり、バックドアを仕掛けるなど、システム自体の改ざんを行なうことがあるため、感染したホストを再起動しても復旧できない可能性があります。したがって感染してしまった場合は、ハードディスクをフォーマットした上で OS を再インストールすることを強くお勧めいたします。
このワームが侵入を試みた Web サーバのログには以下のように記録されることが報告されています (実際は 1行です)。
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
※ 以前の Code Red Worm では以下のように記録されます (実際は 1行です)。
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
上記の記録がログに残っていて、且つ IIS の修正用のパッチを適用していない場合は、次のように実行して感染しているかどうかを確認してください。まず Web ブラウザなどのアプリケーションが起動されていない状態であることを確認した上で、コマンドプロンプトにおいて netstat -an コマンドを実行してください。そこで表示された結果として以下のような記述が多数存在する場合はワームに侵入された可能性が極めて高いと判断できます。
TCP 自ホストのIPアドレス:数字 他のホストのIPアドレス:80
また、管理者が気が付かずに IIS が稼動してしまっていることがありますので、タスクマネージャなどでプロセスを確認してください。
修正用のパッチは 6月にベンダから無償で提供されています。ただし公開されているパッチは、Windows NT 4.0 の場合は Service Pack 6a、またWindows 2000 の場合は Service Pack 1 または Service Pack 2 に対するパッチです。したがってパッチを適用する前に、あらかじめ該当する ServicePack をシステムにインストールしておく必要があります。
Service Pack のインストールが不可能もしくは極めて困難な場合は、一時的な対応策として、IIS における .ida および .idq のスクリプトマッピングを削除することをお勧めします。しかしこの対応方法では、関連するソフトウェアをインストールすることでスクリプトマッピングが復元されてしまうことがありますのでご注意ください。
今後も更に変種の Code Red Worm が作られる可能性が高いと考えられます。IIS を使用されている場合は、至急抜本的な対策を施されることを強くお勧めいたします。
[関連文書]
Microsoft IIS の脆弱性を使って伝播するワーム
http://www.jpcert.or.jp/at/2001/at010018.txt
"Code Red" Worm の伝播活動再開に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010017.txt
Microsoft Security Bulletin(MS01-033)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
前
コメント
共 有
