CodeRed ワームに注意 |
ウイルス情報 : http://www.microsoft.com/japan/technet/security/codealrt.asp |
CodeRedとはwindowsNT系のwebサービス”IIS”の弱点を突くワームであり、 ワームを含むデータを大量にネットワークに放出する他、 自由に侵入できる裏口を感染機体にセットします。 バックグラウンドで全ての処理を行うため 予備知識のない感染者や受信者がこのワームの存在に気づくことはまずないでしょう。 当初このワームは単純にネットワークに”ゴミ”を吐き続けるだけのものでした。 が、5日に感染機体に裏口を設置する機能を持つ悪質な亜種が発生し、増殖を開始しました。 市大は内部と外部が隔絶されており、 と思っていたのですが、プロバイダに電話接続している方がいらっしゃるようです!! (某方が接続した瞬間に私宛に外部からcoderedが送られてきました。) 市大がウイルスの中継基地となってしまいますので電話接続は絶対にしないでください。 が、多量のデータを随時放出するため大学内のネットワークに多大な負荷をかけてしまいます。 9日現在までに、学内においても3件の感染を確認しております。 運営室で個別導入の機体全てを確認するのは事実上不可能です。 Windows2000,WindowsNTユーザ及び管理者は各自サービスパックとパッチの導入を行ってください。 尚、officeXP、office2000にも同機能が添付されている可能性があります。(調査中) 関連サイト:ウイルス情報と駆除ツール
|
特筆事項 |
・Windows2000,windowsNT,OfficeXPに梱包された”IIS”と呼ばれる機能を狙う。 ・上記の含まれたマシンにおいて弱点を補強していない場合高確率で感染する。 ・感染した機体には裏口が設置されてしまい、データを自由に操作されてしまう。 ・ネットワーク内に大量に”ゴミデータ”をばらまき、ネットワークを不安定にする。 ・各機体の構成はを把握するのは不可能なため基本的に運営室では対処ができない。 (感染しているかの判断→アップデートパッチ→裏口の撤去→再起動をユーザが行わなければならない。) ・8月5日以降のウイルス定義で検知可能(駆除は無理) ・駆除しただけでは不十分。パッチを充てる必要がある(直後に感染する) |
被害の実体 |
国内では一般ユーザ・大学を中心として大流行し、学内でも3件の感染を確認しました。 これらは全て個人運用のPC及びサーバであり、それぞれ駆除に成功しております。 ご覧下さい。Code Redの世界的な感染状況 :http://www.security.nl/misc/codered-stats/ 累計学内感染台数:IIIIIIII 7台 |
行っていただくこと |
Windows NT/2000やOffice XP の SharepPointまたは
FrontPageのユーザーは次の確認をしてください。
・Ctrl-Alt-Del を押して「タスク マネージャ」を起動 ・「プロセス」タブを押す ・Inetinfo.exe プロセスを探す Inetinfo.exe があった人は感染する(している)可能性があります。 シマンテック、トレンドマイクロから感染検出ツール並びに復旧ツールが公開されています。 次に XPユーザでInetinfo.exeが存在していた方は機能の凍結を行います。 Windows NT/2000ユーザはInetinfo.exe の結果如何に関わらず次のHPの指示に従って パッチを充ててください。 http://www.microsoft.com/japan/technet/security/codeptch.asp また、既に感染していた場合はバックドアの撤去やシステムの修復が必要です。 複雑な作業が要求されますので可能であればOSの再インストールをしてください。 |