製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス情報

ウイルス名
W32/Nimda.a@MM
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4159
対応定義ファイル
(現在必要とされるバージョン)
4320 (現在7401)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Nimda (AVP), I-Worm.Nimda.E (AVP), Nimda (F-Secure), Nimda.c (F-Secure), Nimda.d (F-Secure), Nimda.e (F-Secure), W32.Nimda.A@mm (NAV), W32.Nimda.C@mm (NAV), W32.Nimda.D@mm (NAV), W32.Nimda.E@mm (NAV), W32/Minda@MM, W32/Nimda-C (Sophos), W32/Nimda.eml, W32/Nimda.htm, W32/Nimda@MM, Win32.Nimda.A@mm (AVX), Win32.Nimda.E (CA)
亜種W32/Nimda.b@mm, W32/Nimda.gen@MM
情報掲載日01/09/19
発見日(米国日付)01/09/18
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
このウイルスの亜種についての情報
W32/Nimda.b@MM ウイルス インターネットウイルス 対応ウイルス定義ファイルが異なりますのでご注意ください。(その他の詳細はこちら
W32/Nimda.d@MM ウイルス インターネットウイルス この亜種は異なるファイル名を使用します。
  • README.EXE → SAMPLE.EXE
  • MMC.EXE → CSRSS.EXE
  • ADMIN.DLL → HTTPODBC.DLL
  • W32/Nimda.e@MM ウイルス インターネットウイルス 機能的には亜種Dと同じで、違いはほとんどありません。
    W32/Nimda.f@MM ウイルス インターネットウイルス 機能的には亜種Dと同じで、違いはほとんどありません。
    W32/Nimda.g@MM ウイルス インターネットウイルス 機能的には亜種E・Dと同じで、違いはほとんどありません。

    新種亜種が発見されていますが(メーカーによってNimda.Dと呼ばれたりNimda.Eと呼ばれたりしています)、この亜種の機能は本種とあまり大差ありません。なお、上記の亜種は、.bを除いて、W32/Nimda.a@MMと同じくウイルス定義ファイルバージョン4162で対応可能です。これらの亜種の危険度は「低」です。

    (2001年11月13日追記)
    新種亜種(メーカーによりNimda.Gと呼ばれます)が新たに発見されましたが、このウイルスは亜種E・Dとほとんど同じ物です。ウイルス定義ファイルバージョン4163〜4169はこの亜種を「W32/Nimda@MM」として検知します。

    以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
    PCまたはサーバに以下の症状が見られた場合、Nimdaに感染している可能性が高いといえます
    • C:\ADMIN.DLL, D:\ADMIN.DLL, E:\ADMIN.DLL といったファイルが存在する
    • README.EMLというファイルが存在する
    • ネットワーク共有が不自然に開いている

    感染方法TOPへ戻る
    ウイルス情報
    • このウイルスは、Win9x/NT/2000/MEに感染可能です。

    • インターネット・エクスプローラ (ver 5.01 または 5.5 でSP2なし)をお使いの皆様は、こちらの不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)という脆弱点を修正することをお勧めします。

    • IIS サーバのシステム管理者の皆様は、こちらのパッチ「2001 年 8 月 15 日 IIS 用の累積的な修正プログラム 」をインストールすることをお勧めします。

    • W32/Nimda@MMはメール大量送信型ウイルスです。またネットワーク共有を使っても繁殖します。メールの形式は以下のようになります。

      件名 (長い文字列)
      本文 (HTMLページ、画面には表示されません)
      添付ファイル (任意のファイル名。例:README.EXE)

      W32/Nimda@MMのメール大量送信機能は、10日の潜伏期間の後、活動を再開すると言う報告がされています。

    • この他、"Web Server Folder Traversal"や、コンテント・タイプ・スプーフィング脆弱点も悪用されます。

    • またネットワーク共有(c:)の作成を試みます。さらにW32/CodeRed.c wormによって落とし込まれたトロイの木馬が存在していないかどうかを調べます。

    • Eメールの添付ファイルの名前は一定ではありません。添付ファイルのアイコンにはインターネット・エクスプローラのHTML文書用のそれが使われることがあります。

    • このウイルスの主な繁殖方法は以下のとおりです。
      • このウイルスが作成するEメール・メッセージにおいては、audio/x-wavに実行ファイルを添付したコンテント・タイプが指定されています。このメッセージがアクセスされると、ユーザーに知られることなく添付ファイルが実行され得ます。つまり、OutlookやOutlook Express のプレビュー機能を使って閲覧しただけでも、ウイルス感染が発生します。

      • このウイルスは、感染の際に、HTML文書にJavaScriptを不正追加します。このJavaScriptは、感染能力を持つEメール・メッセージを内蔵した新しいブラウザ・ウインドウをオープンする機能を持っています。感染性Eメール・メッセージは、ウイルスによって落とし込まれたREADME.EMLから取られます。この感染性HTMLに、リモートであるにせよローカルであるにせよ、アクセスがあった場合、そのページを閲覧したマシンがウイルスに感染します。つまりNimidaに感染したWebサイトを表示しただけで、そのマシンはウイルスに感染します。
        WindowsNT/2000では、電子メールメッセージから感染することはありません。

      • 感染時には、%$ として各ローカルドライブにネットワーク共有を作成します('%'は共有されるドライブ名を指します)。Win9X/MEシステムでは、パスワードなしのフル共有として設定されます。WinNT/2000では、共有に与えられるパーミッションはGUESTになります。またそのパーミッションはGUESTSの他にADMINISTRATORSにも追加されます。
        WindowsNT/2000では、感染した.ASP、.HTMあるいは.HTMLドキュメントへのアクセスによって感染することはありません。

      • このウイルスは、IPアドレスをスキャンしてIISサーバを探し、Web Folder Transversal 脆弱点を悪用した不正形式GETリクエストを送ることにより、そのサーバに感染しようとします。この時、対象マシンでは、TFTPセッションが開始され、その結果、不正リクエストの送信元マシンからADMIN.DLLがダウンロードされることになります。そのダウンロードが完了すると、そのリモートマシンに対し、ADMIN.DLLを実行して感染を行うよう命令が発行されます。TFTPセッションの接続が失敗した場合は、WINDOWSのTEMPディレクトリの中に複数のファイル(TFTP*)が作成されます。これらのファイルは、単なるウイルスのコピーです。またこのウイルスは、W32/CodeRed.cが作成したバックドアを悪用しての感染も試みます。
      • EXEファイルにはウイルスが前方追加されます。

    • 感染されたマシンは、Webを通じて他の感染対象を探すための踏み台として悪用されます。この際、大量のポートスキャンが発生し、このためネットワークの混雑が発生します。

    • Eメールアドレスは、Microsoft Outlook およびMicrosoft Outlook Express, のMAPIメッセージ、およびHTM/HTML文書から引き抜いたEメールアドレスが集まったものです。 そうしてこのウイルスはそれらのアドレスに自分自身を送ります。その際、メールの件名は、空白か、あるいはパーシャルなレジストリ・キー・パスを含んだものかのどちらかになります。
    • このウイルスは自分自身を、WINDOWS SYSTEM ディレクトリにLOAD.EXEとしてコピーします。また、スタートアップ時に自分自身が起動されるよう、下記のSYSTEM.INIエントリを作成します。

      Shell=explorer.exe load.exe -dontrunold

    • この他、以下の事象が発生します。

      • MIMEエンコードされたウイルスのコピーがドライブ上の各フォルダの中に作成されます。ファイル名は、ほとんどの場合REDAME.EMLですが、拡張子が.NWSとなることもあります。これによりハードディスク内に大量のファイルが作成され、場合によってはハードディスクが満杯になってしまうこともあります。

      • レジストリ値が以下のように作成/改変されます。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\HideFileExt

        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Hidden

        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\ShowSuperHidden

      • 以下のレジストリ・キー・ブランチが削除され、これによりWinNT/2Kでの共有セキュリティが消去されます。

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\Shares\Security

      • このウイルスは自分自身を、C:\, D:\, E:\ にADMIN.DLLというファイル名でコピーします。

      • このウイルスを構成するファイルは、ADMIN.DLL, LOAD.EXE, MMC.EXE, README.EXE, RICHED20.DLL, MEP*.TMP.EXE です。

        (注1:RICHED20.DLLは、Microsoft WordPadをはじめとする多くのアプリケーションにより、Windows Systemディレクトリに存在する同名のファイルと共に、正規のものとしてコールされます。つまりこのDLLに依存するプログラムが実行された場合、ウイルスファイルも実行されることになります)。

        (注2:MMC.EXE はMicrosoft Management Console アプリケーションのファイル名と同じです。ウイルスはこの正規ファイルを上書きすることができると報告されています)。

    • このウイルスの中には以下の文字列が含まれています。

      Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China

    駆除方法TOPへ戻る
    Nimda駆除ツール、セミナー、対策ナビゲーター、攻撃源特定フィルタなど
    注:
    • ウイルス検査の際は検査対象に「すべてのファイル」を指定することをお勧めします。

    • VirusScanによる駆除の際には、Nimdaに感染した.ASP, .HTM, .HTMLファイルについては、悪質JavaScriptを取り除くための切り詰めが行われます。またウイルスが落とし込んだ自分自身のコピーについては、削除がなされます。

    • ネットワーク共有ドライブにおけるNimdaのリアルタイム検査について

    Nimda対応定義ファイルの変更について(9/20)
      W32/Nimdaの対応定義ファイルについて、9/19発表時点で4159と掲載しておりましたが、これを4160と変更いたしました。4159と4160の違いは下記の通りです。

      ※ 4159で駆除を行った場合、Nimdaに感染したEXEファイルに対し「削除」を行いますが、4160ではこれを「駆除(=ウイルスの除去)」するように修正を加えました。

      ※ 本日9/20に定義ファイル4161がアップされております。ウイルス定義ファイルは、週に一度(毎週、木曜または金曜)にアップしており、その定期的な流れの中でアップされたものです。

      ※ Nimdaについては定義ファイル4160とエンジン4070で対応しておりますが、今後、亞種が出てくることも予想されるため、定義ファイルとエンジンは常に最新のものをお使いいただけるようお願いします。

      Nimdaの駆除に関してさらに更新が加わったため、対応定義ファイルを4162に変更いたしました。(9/25)