馬耳東風

現状は、死人こそでないが、テロと呼ぶにふさわしい状態となっている。

●詳細
昨日１８日から米国を始めとして、nimdaというウイルスが超猛威を振るっております。そんで、昨日１８日夜１０時頃より日本に上陸しまして、日本の官公庁や大企業、中小企業をメタクソに荒らしまわっております。まぁ被害を申し出るのは役所ぐらいでしょうが・・・。新聞でほとんど取り上げられないのが不思議なぐらいなのですが、役所のホームページを始め各省庁のページまで落ちていたりします。まっ、そんなのは被害の一旦なのですが。

で、このウイルス、かなぁ～～～り、嫌な感じなので、いちを専門技術者として警告をさせて頂きます。

まず。
マッキントッシュを使っているひと！問題ありません。ご苦労様でした。

それ以外！
よく読んでクレ！
シャレにならんのだ！！（現状でハークしている範囲での話です。）

各詳細はノートンアンチウイルスのw32nimda解説ページや。トレンドマイクロ社の解説ページをみちょくれ。ここではそれとはちょっと違う独自の情報を追加するよ。まず、今回の話題のウイルスですが、一番の特徴は感染経路。最悪な事に強烈な感染力と伝染性、そして複数の感染経路を持ちます。

●ホームページの閲覧による感染
１～２週間まえに話題になりましたが、ホームページを閲覧しただけで感染するウイルスというのが報告されました。某有名ページにおいて不法な侵入により内容が書き換えられ、ページを閲覧しただけでウイルスに感染してしまうページになってしまったというもの。
これは、ＩＥ５．５以前のブラウザにおいて、アウトルック形式のファイルがページ上で実行されてしまうというもの。つまりページを見に行っただけで感染しちゃうのです。

対処法→
マイクロソフトよりこの穴を埋めるバグパッチが配布されています。IE5.5SP2以上にアップデイトが必要です。(IEのアップデイトするのにIEつかわなきゃできないのもどうかと思うのだけど・・・。というかダイアルアップの人は無理なぐらい重いよ。)

●メール閲覧による感染
アウトルックなどのマイクロソフトが提供するメールソフトでウイルスメールを閲覧することにより感染します。いままでの常識では「メールに添付されてきたファイルを開かなければ感染しない。」と言われていましたが、今回のウイルスはメール本文を閲覧しただけで感染します。常識は破られるものです。これは、内部的にヘッダーがオーディオとして書き込まれているため、そちらの起動が起きるためです。メールを開いた瞬間は何も起こっていないように感じますが、実際はウイルスが実行され、実在しない添付ファイルがダミーとして本文に添付されています。中身を見た時には既に遅し。

●LAN内増殖による強制感染
まじ参りますわ。ほんと。（ふつーの人には関係ないかもしれませんが。）ここはマックウインドウズ関係なく被害をうけます。 LANを組んでいるマシンの一部が感染した場合、共有フォルダにガンガンと、*.eml や、*.nws などと言った、アウトルック形式拡張子のメールファイルが書き込まれます。
・77.3KB(79.225バイト)
・1.78MB(1,872,843バイト)
・619KB(643.125バイト)
・334KB(342.663バイト)
といったファイル容量で、ほぼ間違いなくnimdaの可能性があります。これらのファイルによりハードディスクが食いつぶされます。フォルダがあればあるほどものすごい数作られることになります。

●原因不明の感染
なんだか、よくわかりませんが。 *.eml や、 *.nws のファイルを受け取ってしまった場合、気が付いたらなにもしてないのに感染したりします。どうしてでしょう・・・。ノートンなどのワクチンソフトはあくまで感染したファイルを見つけるだけで予防には役に立ちません。しかも、これらemlのようなワークファイル(ウイルスの働きを直接持たない物)をウイルスとしては認識しないようなので、手動での削除が必要です。
また、ウイルス感染後は全ての関連ファイルを取り除いた場合でも、再発するケースが認められました。上記以外にも感染経路を持っている可能性があります。

●被害
このウイルスの主な悪さは、最終的にウインドウズ系のWebサーバにたどり着きます。自分はWeb開発系の仕事をしていて、Lan内に仮想Webサーバをいくつかこしらえてたりするのですが、まさに壊滅的。メールサーバなども直接攻撃の対象に晒されるのでその負荷だけであっという間に潰れちゃいます。感染したサーバ下のhtmlやaspを、ページを見た人に感染させるページに書き換えを行います。悪循環！！そのついでに、お外のユーザに管理者権限を与え、裏口を開放します。外から来た人が好き放題に中に侵入できるということです。まさに無法地帯。

上記のような感染経路によりパソコン内に入り込んだウイルスは、まず、Windows System以下などに自分自身の実行プログラムをつくり、エクスプローラの表示属性にまで手を加え、自分自身は不可視属性になりユーザから見えなくなります。（ツールバーのフォルダオプションよりすべて表示に変更しましょう）姿を隠したウイルス君はさらにフォルダ属性を共有に変更し、外のマシンに自分自身の複製を送りつづけると同時に仲間の到着を裏口を空けて待ちます。つまり、一人でも身近に感染者が出たと気が付いた場合、あなたも既に手遅れである可能性が高いということです

もし、感染したマシンがサーバー機能(iis パッチを当てる以前)を持っている場合それらのシステムの奥深くまで自分を感染させ、同時にasp、htmlファイルに変更を加えます。ほんとに簡単なJavaScriptの一行ですが・・・最悪です。

そのような処理を繰り返しながら、ウイルスは増殖を繰り返し、他の重要なexeプログラムに自分自身を感染させます。（一度も確認はできていませんが、Zipなどの圧縮ファイルにも感染するそうです・・・。うそ臭いな、ほんとかな？）

●対策法全般
メールソフト、アウトルックによる感染は深刻で、打つ手がありません。使うのを停止することをお奨めします。新しいバージョンが出るのを待つか、メールソフトを乗り換えて下さい。

共有フォルダのフルアクセスを禁止し、そして、自分が感染している可能性が高い場合は加害者とならないよう、対処法が判明するまでLANケーブルを引っこ抜く。

*.emlなどというファイルは、内部にエンコードされたreadme.exeというファイルを持っています。このexeが実行されることにより、下記のようなウイルス本体を生成します。
名前で言うと、
・readme.exe
・road.exe
・riched20.dll
・mep????.tmp.exe
なんかが挙げられます。これらのプログラムやDLLファイルは通常のウインドウズにも含まれるものです、更新日付を確認し異様に新しいものだけ疑ってみてください。ただし、上にも書きましたようにこれらのプログラムは不可視属性になっていますので、フォルダオプションで「隠しファイル及び、隠しフォルダを表示しない」にしないように、とりあえず、ここを変更してちろっと探してみましょう。 Windows以下か、TEMP以下にいるはずです。

途中のワークファイルだと思うのですが、 hid????.tmpなどの中間ファイルでファイル内にreadme.exeを有しているものがあります。たぶん、ウイルスの種と本体があったとしたら、これはサナギなのですが、気持ち悪いので文字列を含む検索でもして削除しましょう。

win98の場合、load.exeというexeが共有違反で削除できないかもしれません。 srcpyという共有違反を無視して削除するツールを使う、もしくは、Windows system以下にある、system.iniファイル
Shell= explorer.exe load.exe -dontrunold の
　　　　　　　　　　~~~~~~~~~~~~~~~~~~~~をload以降を削除し再起動をしてください。共有が解除され削除できるようになるはずです。

ノートンアンチウイルスなどのワクチンソフトは、１９日よりw32nimda対応のウイルス定義ファイルを配布し始めました。これを素直にダウンロードしましょう。感染してからじゃインターネットにアクセスできなくなってしまうので要注意！
なんども言いますが、このワクチンソフトはウイルスに感染しない為のソフトではありません。ウイルスに感染したファイルを見つけ、警告を行うソフトです。さらにウイルスについては既知のものまでしか検出できません。ウイルス定義には9/19日以前に配られたものにはnimdaは含まれていません。最新版をダウンロードが必要です。

中身のコードを追ったところ、同じバイト数のモノでも数パターンあるようです。ミューテーションする可能性と、さらにまだ隠れた感染経路を持っているのでは？と私は疑っています。ここまで手が込んでてタイムスタンプを素直に更新しているというのが非常に臭いです。駆除されたフリをしているのではないか・・・なんて・・・思ったりしてな。

まじめな話、相当な企業団体が被害を食っています。隠蔽体質な日本が悲しいでが、被害総額は相当な額に昇ると思われます。もちろん日本以外の国も大変さ。ただ、これらウイルスに個人が感染した場合打つ手がなく、今回緊急に書く気にさせました。もぉ夜中の３時だよ・・・。ここも例外ではありませんが・・・大手サイトの対応策にも問題が多くあります。 nimdaの作者でもないかぎり正確な対応策など言うことができないのですが、個人の判断に基づいた対応をおこなってください。

メールや、インターネットができないとなにもできないなー・・・と、ちょっと実感。偶然かどうか、J-Phoneはウイルス発生後半日止まったらしいです。負荷で飛んだのでしょうか・・・？

完全な治療法はわかりません・・・。ありません。感染しないのが一番です。
ということで、しばらくは注意してください。というお話でした。既に新しいウイルスが登場しているという情報まであります・・・。涙。

020		緊急コラム・サイバーテロ	2001/09/21
	現状は、死人こそでないが、テロと呼ぶにふさわしい状態となっている。 ●詳細昨日１８日から米国を始めとして、nimdaというウイルスが超猛威を振るっております。そんで、昨日１８日夜１０時頃より日本に上陸しまして、日本の官公庁や大企業、中小企業をメタクソに荒らしまわっております。まぁ被害を申し出るのは役所ぐらいでしょうが・・・。新聞でほとんど取り上げられないのが不思議なぐらいなのですが、役所のホームページを始め各省庁のページまで落ちていたりします。まっ、そんなのは被害の一旦なのですが。で、このウイルス、かなぁ～～～り、嫌な感じなので、いちを専門技術者として警告をさせて頂きます。まず。マッキントッシュを使っているひと！問題ありません。ご苦労様でした。それ以外！よく読んでクレ！シャレにならんのだ！！（現状でハークしている範囲での話です。）各詳細はノートンアンチウイルスのw32nimda解説ページや。トレンドマイクロ社の解説ページをみちょくれ。ここではそれとはちょっと違う独自の情報を追加するよ。まず、今回の話題のウイルスですが、一番の特徴は感染経路。最悪な事に強烈な感染力と伝染性、そして複数の感染経路を持ちます。 ●ホームページの閲覧による感染１～２週間まえに話題になりましたが、ホームページを閲覧しただけで感染するウイルスというのが報告されました。某有名ページにおいて不法な侵入により内容が書き換えられ、ページを閲覧しただけでウイルスに感染してしまうページになってしまったというもの。これは、ＩＥ５．５以前のブラウザにおいて、アウトルック形式のファイルがページ上で実行されてしまうというもの。つまりページを見に行っただけで感染しちゃうのです。対処法→ マイクロソフトよりこの穴を埋めるバグパッチが配布されています。IE5.5SP2以上にアップデイトが必要です。(IEのアップデイトするのにIEつかわなきゃできないのもどうかと思うのだけど・・・。というかダイアルアップの人は無理なぐらい重いよ。) ●メール閲覧による感染アウトルックなどのマイクロソフトが提供するメールソフトでウイルスメールを閲覧することにより感染します。いままでの常識では「メールに添付されてきたファイルを開かなければ感染しない。」と言われていましたが、今回のウイルスはメール本文を閲覧しただけで感染します。常識は破られるものです。これは、内部的にヘッダーがオーディオとして書き込まれているため、そちらの起動が起きるためです。メールを開いた瞬間は何も起こっていないように感じますが、実際はウイルスが実行され、実在しない添付ファイルがダミーとして本文に添付されています。中身を見た時には既に遅し。 ●LAN内増殖による強制感染まじ参りますわ。ほんと。（ふつーの人には関係ないかもしれませんが。）ここはマックウインドウズ関係なく被害をうけます。 LANを組んでいるマシンの一部が感染した場合、共有フォルダにガンガンと、.eml や、.nws などと言った、アウトルック形式拡張子のメールファイルが書き込まれます。・77.3KB(79.225バイト) ・1.78MB(1,872,843バイト) ・619KB(643.125バイト) ・334KB(342.663バイト) といったファイル容量で、ほぼ間違いなくnimdaの可能性があります。これらのファイルによりハードディスクが食いつぶされます。フォルダがあればあるほどものすごい数作られることになります。 ●原因不明の感染なんだか、よくわかりませんが。 .eml や、 .nws のファイルを受け取ってしまった場合、気が付いたらなにもしてないのに感染したりします。どうしてでしょう・・・。ノートンなどのワクチンソフトはあくまで感染したファイルを見つけるだけで予防には役に立ちません。しかも、これらemlのようなワークファイル(ウイルスの働きを直接持たない物)をウイルスとしては認識しないようなので、手動での削除が必要です。また、ウイルス感染後は全ての関連ファイルを取り除いた場合でも、再発するケースが認められました。上記以外にも感染経路を持っている可能性があります。 ●被害このウイルスの主な悪さは、最終的にウインドウズ系のWebサーバにたどり着きます。自分はWeb開発系の仕事をしていて、Lan内に仮想Webサーバをいくつかこしらえてたりするのですが、まさに壊滅的。メールサーバなども直接攻撃の対象に晒されるのでその負荷だけであっという間に潰れちゃいます。感染したサーバ下のhtmlやaspを、ページを見た人に感染させるページに書き換えを行います。悪循環！！そのついでに、お外のユーザに管理者権限を与え、裏口を開放します。外から来た人が好き放題に中に侵入できるということです。まさに無法地帯。上記のような感染経路によりパソコン内に入り込んだウイルスは、まず、Windows System以下などに自分自身の実行プログラムをつくり、エクスプローラの表示属性にまで手を加え、自分自身は不可視属性になりユーザから見えなくなります。（ツールバーのフォルダオプションよりすべて表示に変更しましょう）姿を隠したウイルス君はさらにフォルダ属性を共有に変更し、外のマシンに自分自身の複製を送りつづけると同時に仲間の到着を裏口を空けて待ちます。つまり、一人でも身近に感染者が出たと気が付いた場合、あなたも既に手遅れである可能性が高いということですもし、感染したマシンがサーバー機能(iis パッチを当てる以前)を持っている場合それらのシステムの奥深くまで自分を感染させ、同時にasp、htmlファイルに変更を加えます。ほんとに簡単なJavaScriptの一行ですが・・・最悪です。そのような処理を繰り返しながら、ウイルスは増殖を繰り返し、他の重要なexeプログラムに自分自身を感染させます。（一度も確認はできていませんが、Zipなどの圧縮ファイルにも感染するそうです・・・。うそ臭いな、ほんとかな？） ●対策法全般メールソフト、アウトルックによる感染は深刻で、打つ手がありません。使うのを停止することをお奨めします。新しいバージョンが出るのを待つか、メールソフトを乗り換えて下さい。共有フォルダのフルアクセスを禁止し、そして、自分が感染している可能性が高い場合は加害者とならないよう、対処法が判明するまでLANケーブルを引っこ抜く。 *.emlなどというファイルは、内部にエンコードされたreadme.exeというファイルを持っています。このexeが実行されることにより、下記のようなウイルス本体を生成します。名前で言うと、・readme.exe ・road.exe ・riched20.dll ・mep????.tmp.exe なんかが挙げられます。これらのプログラムやDLLファイルは通常のウインドウズにも含まれるものです、更新日付を確認し異様に新しいものだけ疑ってみてください。ただし、上にも書きましたようにこれらのプログラムは不可視属性になっていますので、フォルダオプションで「隠しファイル及び、隠しフォルダを表示しない」にしないように、とりあえず、ここを変更してちろっと探してみましょう。 Windows以下か、TEMP以下にいるはずです。途中のワークファイルだと思うのですが、 hid????.tmpなどの中間ファイルでファイル内にreadme.exeを有しているものがあります。たぶん、ウイルスの種と本体があったとしたら、これはサナギなのですが、気持ち悪いので文字列を含む検索でもして削除しましょう。 win98の場合、load.exeというexeが共有違反で削除できないかもしれません。 srcpyという共有違反を無視して削除するツールを使う、もしくは、Windows system以下にある、system.iniファイル Shell= explorer.exe load.exe -dontrunold の　　　　　　　　　　~~~~~~~~~~~~~~~~~~~~をload以降を削除し再起動をしてください。共有が解除され削除できるようになるはずです。ノートンアンチウイルスなどのワクチンソフトは、１９日よりw32nimda対応のウイルス定義ファイルを配布し始めました。これを素直にダウンロードしましょう。感染してからじゃインターネットにアクセスできなくなってしまうので要注意！なんども言いますが、このワクチンソフトはウイルスに感染しない為のソフトではありません。ウイルスに感染したファイルを見つけ、警告を行うソフトです。さらにウイルスについては既知のものまでしか検出できません。ウイルス定義には9/19日以前に配られたものにはnimdaは含まれていません。最新版をダウンロードが必要です。中身のコードを追ったところ、同じバイト数のモノでも数パターンあるようです。ミューテーションする可能性と、さらにまだ隠れた感染経路を持っているのでは？と私は疑っています。ここまで手が込んでてタイムスタンプを素直に更新しているというのが非常に臭いです。駆除されたフリをしているのではないか・・・なんて・・・思ったりしてな。まじめな話、相当な企業団体が被害を食っています。隠蔽体質な日本が悲しいでが、被害総額は相当な額に昇ると思われます。もちろん日本以外の国も大変さ。ただ、これらウイルスに個人が感染した場合打つ手がなく、今回緊急に書く気にさせました。もぉ夜中の３時だよ・・・。ここも例外ではありませんが・・・大手サイトの対応策にも問題が多くあります。 nimdaの作者でもないかぎり正確な対応策など言うことができないのですが、個人の判断に基づいた対応をおこなってください。メールや、インターネットができないとなにもできないなー・・・と、ちょっと実感。偶然かどうか、J-Phoneはウイルス発生後半日止まったらしいです。負荷で飛んだのでしょうか・・・？完全な治療法はわかりません・・・。ありません。感染しないのが一番です。ということで、しばらくは注意してください。というお話でした。既に新しいウイルスが登場しているという情報まであります・・・。涙。
□ MENU □