プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

ワームおよびこのワームの亜種「CODERED.B」は、多くのコンピュータにごく少ない危険性をもたらします。ワームは、脆弱性「CAN-2001-0500」を利用し、不正リモートユーザがコンピュータの管理者権限を取得し、ネットワークセキュリティの侵害をもたらします。

ワームの不正活動が実行されるための条件日があり、またその不正活動には2種類あります。

1つはコンピュータの日付が月の20日から28日の間である場合、ワームは、政府系サイトに「分散型サービス拒否(DDoS)攻撃」を仕掛けます。

またもう1つは、コンピュータの日付が月の20日以前である場合、ワームは、ランダムなIPアドレスを生成し、ポート80番を介して自身のコピーを送信します。

  詳細

ファイルサイズ 4,039 bytes
メモリ常駐 はい
発見日 2001年7月18日
ペイロード DoS攻撃またはDDoS攻撃

その他

ワームは、インターネットサービスAPI(ISAPI)のためのインデックスサービス(IDA)に許容されたサイズを越えたパラメータを利用してアクセスし、パケットデータへ到達するといったダウンロードコマンドを含んでいます。そしてインターネットインフォメーションサービス(IIS)が、データの容量を処理しようとすると、バッファのオーバーフローが発生します。

データは、推奨されるアドレスを含んでおり、そのアドレスは、オーバーフロー中にコンピュータの命令ポインタを置き換えるために利用されます。またデータは、シェルコードとして知られている実行バイナリコードも含んでいます。バッファのオーバーフローによって、管理者としてシェルコードを実行する事が可能になります。

セキュリティ対策の面からも以下の説明を参照してください。

ワームは、オペレーティングシステム(OS)内カーネルイメージが存在する場所にあるファイル "KERNEL32.DLL" を検索します。そして、自身の感染活動に必要なAPI「GetProcAddress」や他のAPI機能を検索します。カーネルの他の、ワームは、不正活動のために以下の3つのバイナリを必要とします。

  • INFOCOMM.DLL IIS Common DLL
  • W3SVC.DLL (IIS core engine) Web Services
  • WS2_32.DLL Winsock V 2.0

バイナリコードが実行されると、ワームは、99のスレッドを生成します。これらのスレッドは、ワームのコードを共有しており、このようにしてワームは、複数の自身のコピーを作成します。生成された各コピーは、ファイル "C:\NOTWORM" を確認します。そのファイルが存在する場合、ワームは、休止状態になります。休止状態は、「スリープ」またはAPI「Sleep()」を呼び出すことによって24.85日間続きます。そして期間が終了するとまた次の休止状態に入ります。ファイル "C:\NOTWORM" が存在しない場合、ワームは、自身の不正活動のために、システムデータを確認します。コンピュータの日付が月の20日から28日の間である場合、ワームは、DDOS攻撃を実行します。またコンピュータの日付が月の20日以前である場合、ワームは自身のコピーを他のコンピュータに送信します。さらにコンピュータの日付が月の28日以降である場合、ワームは、休止状態となります。

DDoS攻撃では、ワームは、IPアドレス「198.137.240.91 (www1.whitehouse.gov)」を開き、アクセスします。そしてそこへ96KBのランダムなデータを送信します。ワームのスレッドは、各バイトが送信される毎に、1秒間休止状態になります。すべてのデータが送信されると、ワームは、4.66時間休止し、不正活動のために繰り返し状態を確認します。

コンピュータの日付が月の20日以前であるときに不正活動を行う場合、ワームは、ランダムなIPアドレスを生成し、ポート80番を介して自身のコピーを送信します。ワームは、どのIPアドレスが処理されたか選別することによって重複して感染することを回避します。ワームは、「127*.*.*」および「224.*.*.*」の形式のIPアドレスは処理しません。「127*.*.*」形式のアドレスの処理を行わないことによって、ループバック機能を回避します。

自身の生成を行った後、ワーム(または、100番目のスレッドのワーム)は、コンピュータのデフォルトで設定されている言語IDを確認します。IDが1033(英語)であった場合、ワームは、サーバのローカルWebページを変更します。このほか、ワームは、不正活動の状態を確認したり、他のコンピュータへの感染活動を継続します。

サーバのローカルWebページを変更するために、ワームは、W3SVC.DLLにおけるAPI「TcpSockSend()」のインポートしたアドレスをパッチします。アドレスを変更する前に、ワームは、2時間休止します。APIの古いアドレスがスレッドによって保存されると、パッチされたアドレスが、ワーム内のコードを呼び出します。API「TcpSockSend()」は、クライアントへデータを送信するためにW3SVC.DLLによって利用されます。ワームがAPIをパッチした後、サーバのローカルWebページをリクエストするクライアントは、以下のデータを含むページを受け取ります。

Welcome to http://www.worm.com !

Hacked By Chinese!

完全にAPIをパッチした後、ワームは、10時間休止します。休止状態が終わると、APIをオリジナルのアドレスに復元します。インポートテーブル上でAPIアドレスをパッチするといったイベントにおいて、この情報を含むメモリページは、保護されていない状態である必要があります。APIアドレスが復元されると、ページもまた復元され保護されることになります。

  対応方法

対応検索エンジン: 9.200
VSAPI OPR パターンバージョン 917
VSAPI OPR パターンリリース日 2001年7月18日

  1. システム管理者は、Trend Microの「脆弱性診断サービス」を利用し、コンピュータをスキャンすることにより、本脆弱性に対する更新プログラムが適用されているかを確認することが可能です。MicrosoftのInternet Information Services(IIS)をご利用のユーザは、「MS01-033:Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される」から更新プログラムをダウンロードし、適用してください。
  2. コンピュータを再起動します。ワームは、メモリに常駐しているため、ファイルシステムに自身のコピーの作成しません。そのため、コンピュータを再起動することによってワームを削除することが可能です。
  3. ワームは、目に見えるような不正活動を行うことは稀であり、ワームを検出するにはサーバにおける侵入検知システム(IDS)の使用が唯一の方法となります。ユーザは、IDSの署名ファイルにワームのパケットデータの一部を追加してください。IDSが、そのデータがTCP/IP通信を介してポート80番へ送信された場合、サーバがこのワームの攻撃にあっているということになります。


ご利用はいかがでしたか? アンケートにご協力ください