製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
W32/CodeRed.c.worm
ファイルサイズ-
最小定義ファイル
(最初に検出を確認したバージョン)
4152
対応定義ファイル
(現在必要とされるバージョン)
4152 (現在7600)
対応エンジン4.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名CodeRed.v3, W32/CodeRed.c
情報掲載日01/08/05
発見日(米国日付)01/08/04
駆除補足ウイルス駆除のヒント
-脆弱点検査の製品について詳しく知りたい
-CyberCopの定義ファイルは対応しています
-CodeRedは毎月1日に発病します
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

このウイルスは、Webサーバーを実行しているMicrosoft XP/2000/NTにおいてのみ、影響します。

このウイルスは、CodeRedの亞種です。トロイの木馬が付属している点が本種との大きな違いです。このトロイの木馬が発動すると、攻撃者がサーバをリモートで勝手アクセスできるようになってしまいます。

CodeRed感染の回避方法に関するQ&A:
詳細はサポートQ&A・ウイルス情報をご覧下さい。

CodeRedワ−ム本種の詳細情報:
こちらをご覧下さい。


このウイルスは御客様のシステムが以下に該当する場合は、危険度「高」となります。

  1. マイクロソフトIndex Server 2.0を使用している。あるいはWindows 2000 またはIISに付随するインデクシング・サービスをインストールしている。
  2. 上記のコンポーネントを、マイクロソフトが提供する最新のパッチを使って更新していない。

このウイルスは、バッファ・オーバーフローと呼ばれる脆弱点を悪用して、自分を繁殖させます。この脆弱点は、「Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される 」ものです。

このウイルスはTCP/IP転送のポート80番を介して繁殖します。CodeRedは、TCP/IPストリームを使って、次回の感染対象マシンへと自分自身をダイレクトに送りこむことができます。そして次の感染対象システムをスキャン探索します。

W32/CodeRed.c.wormはW32/CodeRed.a.wormの亜種で、atom「CodeRedll」を使って、自己感染チェックを行います。なので既に感染済みのシステムに再感染を行うことはありません。

このウイルスは、まず、システムにおいてインストールされている言語が中国語(簡体字あるいは繁体字のいずれか)であるかどうかを調べます。中国語であった場合は、600スレッドを作成し、48時間の間、繁殖を続けます。中国語でなかった場合は、300のスレッドを作成して、24時間の間、繁殖を続けます。その後、システムを再起動させます。そして2001年10月1日の12:00AM(グリニッジ標準時 )に、活動を休止します。

このウイルスは他のシステムを探査します。どのシステムが探査されるかは、以下の確率で三通りに分かれます。

  • 近傍のネットワーク :[ 50% ]
  • 同一のクラス A ネット(255.0.0.0):[ 37.5% ]
  • 同一のクラス B サブネット (255.255.0.0) :[ 12.5% ]

この亜種は、またバックドアを作るトロイの木馬を作成します。(ウイルス定義ファイル4152で、「W32/CodeRed trojan」として検知されます。)このトロイの木馬は「%windir%\CMD.EXE」に以下のファイルをコピーしようと試みます。

  • c:\inetpub\scripts\root.exe
  • c:\progra~1\common~1\system\MSADC\root.exe
  • d:\inetpub\scripts\root.exe
  • d:\progra~1\common~1\system\MSADC\root.exe.

このトロイの木馬は、また「c:\explorer.exe」、「d:\explorer.exe」というファイルを作成しようと試みます。このファイルはウイルス自身の中で運ばれてきます。このトロイの木馬は「Shell の相対パス」の脆弱性を利用します。これは、Windowsにおいては「 c:\explorer.exe」が「%windir%\explorer.exe」よりも先に実行されるという脆弱点です。これにより、このトロイの木馬は、「EXPLORER.EXE」が呼び出される時に、自分自身を実行させることが可能になります。

次回の起動時には、このトロイの木馬はオリジナルのexplorer.exeを呼びます。そして以下のレジストリキーに値を加え、ローカルのファイル・システム・セキュリティを無効化します。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\SFCDisable

また以下のキーに2つの値が追加されます。これにより、リモートからの攻撃者が、Webブラウザを経由してC:およびD:ドライブにアクセスできるようになります。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\SFCDisable

またこのキーにおいて、/SCRIPTおよび/MSADCの設定が変更されます。これによりこれらの値に関連したパスへの読み取り/書き込みアクセスが可能になってしまいます。
これらの変更により、リモートからの攻撃者がシェル機能を実行できるようになります。実行は、URLを経由したコマンドの送信により行われます。

その後このトロイの木馬は潜伏期間に入り、10分ごとにレジストリ・キーを改変します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

このウイルスはMicrosoft Index Serverのバッファ・オーバーフロー脆弱点を利用してメモリの中でウイルス自身を実行します。

駆除方法TOPへ戻る
-トロイの削除-

本ウイルスのトロイの木馬の部分を検出、駆除するには、ウイルス定義ファイル(DAT)4152を使って下さい。トロイの木馬が検出された場合、それは削除されます。またリモートからの攻撃者がWeb経由でC:,D:ドライブにアクセスするためのレジストリキーも同様に削除されます。

さらに、管理者はINTERNET SERVICES MANAGERによって/Cおよび/Dの仮想シェアを削除する必要があります。個々の仮想ウェブサイトの/SCRIPTSおよび/MSADCの仮想ディレクトリへのパーミッションを回復する必要がある場合もあります。ウインドウズ・ファイル保護/システムファイルチェッカーレジストリの値を、適切な値(初期値は0)に回復させる必要があります。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\SFCDisable

次のファイルは削除してください:

c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\inetpub\scripts\root.exe
d:\progra~1\common~1\system\MSADC\root.exe