第4版2001年9月29日
第3版2001年9月25日
第2版2001年9月23日
初版2001年9月22日
ウイルス「Nimda」対策
多数のユーザが感染したワーム Nimda の対策です。
(なお、本情報は2001年9月28日までの情報によりかかれたものです)
◆対策を検討すへき環境◆
1.InteretExplorer5/5.01/5.01SP1/5.5/5.5SP1がインストールされている
(4.Xも対象となるという情報もあります)
注意! 「利用の有無」ではなく「インストールされている」ことで検討の対象となります
2.Internet Information Server 4.0および5.0がインストールされている
注意! 「利用の有無」ではなく「インストールされている」ことで検討の対象となります
◆対策◆
1.InteretExplorer5/5.01/5.01SP1/5.5/5.5SP1がインストールされている場合
(1)InteretExplorer5.01SP2/5.5SP2/6にアップグレードします
注意! InteretExplorer6の最小構成インストールではダメです。
(2)アップグレードできないならInternetExplorerのパッチを適用します
不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する
(MS01-020)
(3)アンチウイルスソフトのパターンファイルや定義ファイルをNimda対応のものに更新する
トレンドマイクロ パターンファイル941以上(駆除は942以上) エンジン5.200以上
McaAfee ウイルス定義ファイル4159以上 エンジン4.0.70以上
シマンテック 2001年9月18日よりダウンロード可能になったもの
F-Secure 2001年9月19日17:12リリースパターンファイル以上
CA InoculateIT 4.x:シグネチャ28.06以上 InoculateIT 6.0:シグネチャ23.46.06以上
2.Internet Information Server 4.0および5.0がインストールされている場合
マイクロソフトのセキュリティパッチを適用します
Windows2000: 2001 年 8 月 15 日 IIS 用の累積的な修正プログラム (MS01-044)
(SP1ないしSP2適用後に利用します)
WindowsNT : SRP (セキュリティ ロールアップ パッケージ)
2001 年 8 月 15 日 IIS 用の累積的な修正プログラム (MS01-044)
◆対策の注意点◆
1.対策済みInternetExplorerで感染サイトにアクセスすると、「readme.exe」ダウンロードの警告がでます。
「キャンセル」をえらべばよいでが「上記の場所から開く」を選び「OK」を押すとやっぱり感染します。
2.サーバにもInternetExplorerが入っているので対策を忘れないでください
3.アンチウイルスソフトにより駆除が成功しても、破壊されたファイルは戻りません
4.新規に買ってきたPCやOSを再インストールするときにも対策を忘れないでください。対策をしてからインター
ネットに繋ぎましょう
◆不幸にしてNimdaに感染したら◆
速攻駆除しましょう。
1.アンチウイルスソフトベンダーから駆除ツールと駆除方法が提供されています
トレンドマイクロ 日本ネットワークアソシエイツ シマンテック
2.破壊された「riched20.dll」(ワードパッドで使用するファイル)をインストールしなおして復旧します
注意! エクスプローラ等で nimda によって作成されたファイルを削除するときは、InternetExplorer対策
後か、「フォルダオプション」→「全般」タブの「Webの表示」を「従来のWindowsフォルダを使う」にしてから行い
ましょう。でないとクリックした自転で発症を繰り返すため、きりがありません・・(^^;)
3.Windows2000/NTでは、Guestアカウントの権限も直しましょう。
4.フォルダ共有もなしましょう
◆ありがちな感染◆
1.InternetExplorer未対策状態でNimdaメールをOutlookやOutlookExpressで見てしまった(プレビューウインドウで開かれてもダメです)
2.InternetExplorer未対策状態でNimdaが作成した xxxx.eml ファイルをエクスプローラ等で選択(クリック)してしまった
3.InternetExplorer未対策状態でNimdaにより改ざんされたホームページを見てしまった
4.IISにセキュリティパッチを適用していなかった