McAfee for Small Businesses

このワームは、Microsoft Windows 2000上で稼動しているWebサーバに悪影響を与えます。

お客さまの環境が以下の条件に該当する場合は、このワームの危険度は「高」になります。

条件1： Windows2000と共にインストールされたMicrosoft IIS を使っている

条件2:　そのサーバに最新のパッチを当てていない。

このワームは、バッファオーバーフロー脆弱点を悪用して、繁殖します（「インデックスサーバISAPI拡張の未チェックバッファにより、Webサーバが脆弱化する」Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise).

このワームは、メモリ内にだけ存在します。またバックドア・トロイの木馬を作成します。これは、W32/CodeRed.coがドロップ（作成）するトロイの木馬と全く同一です（このトロイの木馬は、定義ファイル4152以上を使えば、W32/Codere.cトロイの木馬として検出されます）。このトロイの木馬は、c:\explorer.exe および d:\explorer.exeとしてコピーされます。このトロイの木馬が悪用するのは、"相対シェルパス（Relative Shell Path）脆弱点で、これはWindowsが%windir%\explorer.exeを実行するより先にc:\explorer.exeを実行してしまうというものです。ということは、EXPLORER.EXEが呼び出された場合、ワームが落とし込んだトロイの木馬が実行されてしまうことになります。このトロイの木馬が行うのは、10分おきにレジストリにある値を書き込むということだけです。そして、このレジストリ値により、システムにセキュリティ・ホールが発生することになります。

次回システム起動時には、このトロイの木馬により、悪質活動が行われ、その後で本来のexplorer.exeが呼び出されます。このトロイの木馬は以下のレジストリキーに値を追加します。これによりローカルファイルのシステムセキュリティが無効化されます。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\SFCDisable

以下のキーには、二つの値が追加されます。これにより、遠隔地の攻撃者が、Webブラウザを通じて感染マシンのCドライブおよびDドライブにアクセスできるようになります。

HKLM\SYSTEM\CurrentControlSet\Services\ W3SVC\Parameters\Virtual Roots.

このキーの下で、/SCRIPT および /MSADC といった値が設定され、それにより、これらの値に関連するパスへの読込み／書込みアクセスが許可されるようになります。 これらの改変により、遠隔地の攻撃者は、感染ローカルシステムに向けて、URLを通じてコマンドを送付することにより、そのマシンのシェル機能を実行できるようになります

その他の詳細情報については、W32/CodeRed.c.worm の情報をご覧ください。