製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
W32/CodeRed.f.worm
企業ユーザ:
個人ユーザ:
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4152
対応定義ファイル
(現在必要とされるバージョン)
4152 (現在7542)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/03/12
発見日(米国日付)03/03/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/24Generic Back...
08/24RDN/Generic ...
08/24RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7542
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
この亜種Fは、亜種C(W32/CodeRed.c.worm)とほとんど同一です。違いはわずか2バイトです。

このワームは、Microsoft Windows 2000上で稼動しているWebサーバに悪影響を与えます。

お客さまの環境が以下の条件に該当する場合は、このワームの危険度は「高」になります。

条件1: Windows2000と共にインストールされたMicrosoft IIS を使っている

条件2: そのサーバに最新のパッチを当てていない。

このワームは、バッファオーバーフロー脆弱点を悪用して、繁殖します(「インデックスサーバISAPI拡張の未チェックバッファにより、Webサーバが脆弱化する」Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise).

このワームは、メモリ内にだけ存在します。またバックドア・トロイの木馬を作成します。これは、W32/CodeRed.coがドロップ(作成)するトロイの木馬と全く同一です(このトロイの木馬は、定義ファイル4152以上を使えば、W32/Codere.cトロイの木馬として検出されます)。このトロイの木馬は、c:\explorer.exe および d:\explorer.exeとしてコピーされます。このトロイの木馬が悪用するのは、"相対シェルパス(Relative Shell Path)脆弱点で、これはWindowsが%windir%\explorer.exeを実行するより先にc:\explorer.exeを実行してしまうというものです。ということは、EXPLORER.EXEが呼び出された場合、ワームが落とし込んだトロイの木馬が実行されてしまうことになります。このトロイの木馬が行うのは、10分おきにレジストリにある値を書き込むということだけです。そして、このレジストリ値により、システムにセキュリティ・ホールが発生することになります。

次回システム起動時には、このトロイの木馬により、悪質活動が行われ、その後で本来のexplorer.exeが呼び出されます。このトロイの木馬は以下のレジストリキーに値を追加します。これによりローカルファイルのシステムセキュリティが無効化されます。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\SFCDisable

以下のキーには、二つの値が追加されます。これにより、遠隔地の攻撃者が、Webブラウザを通じて感染マシンのCドライブおよびDドライブにアクセスできるようになります。

HKLM\SYSTEM\CurrentControlSet\Services\ W3SVC\Parameters\Virtual Roots.

このキーの下で、/SCRIPT および /MSADC といった値が設定され、それにより、これらの値に関連するパスへの読込み/書込みアクセスが許可されるようになります。 これらの改変により、遠隔地の攻撃者は、感染ローカルシステムに向けて、URLを通じてコマンドを送付することにより、そのマシンのシェル機能を実行できるようになります

その他の詳細情報については、W32/CodeRed.c.worm の情報をご覧ください。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
以下のファイルが存在している場合、このワームに感染している可能性があります。

c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\inetpub\scripts\root.exe
d:\progra~1\common~1\system\MSADC\root.exe.
 

感染方法TOPへ戻る
このワームはMicrosoft Index Server のバッファオーバーフロー脆弱点を悪用して、メモリ内で自分自身を実行します。  

駆除方法

マイクロソフト社よりCodeRed IIワームによる明白な影響を除去するためのツールが公開されています(英語版)

トロイの木馬の駆除について

このワームがドロップ(作成)するトロイの木馬については定義ファイル4152により検出と駆除が可能です。トロイの木馬が検出された場合は、そのまま削除されます。また遠隔地の攻撃者にCドライブおよびDドライブへのWebブラウザ経由のアクセスを許可するレジストリキーについても同様に削除されます。

この他、システム管理者は、/C、/Dの仮想共有についてもINTERNET SERVICE MANAGERを使って除去する必要があります。また/SCRIPTS および /MSADC の仮想ディレクトリへのパーミッションについても、それぞれの仮想Webサイトに対し、必要に応じて、復活させる必要があります。WindowsのFile Protection/System File Checker レジストリ値も、本来の設定に戻す必要があります(初期値はゼロです)。 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\SFCDisable さらに以下のファイルを削除してください。

c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\inetpub\scripts\root.exe
d:\progra~1\common~1\system\MSADC\root.exe

ウイルス部分の駆除について

マイクロソフトが発行しているパッチファイルを当ててください。脆弱点対応パッチの詳細はマイクロソフトのWebサイトにてご確認ください(こちらのページが役に立つと思われます

Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される (MS01-033)

なお、このワームはデスクトップマシンや単なるファイルサーバには悪影響は与えません。