今話題になっているNimdaに感染したようですが,Nimdaとはどういったもので,どうすれば駆除できるのでしょうか?
「ADMIN」を逆に書くと「NIMDA」になる。どうでもよいことだが,命名の根拠はこれらしいです。
この9月18日に出現したNimdaは,「Internet Explorer」(以下IE)とIISの既知の弱点を利用するワームです。感染すると,膨大な量のトラフィックによるインターネットとLAN接続速度の低下,CPU使用率が100%になる,コンテンツの改ざん(スクリプトが追加される),トロイの木馬の設置などの現象を引き起こします。
では,どのように感染するかというと,マイクロソフトによれば,Nimdaは,以下の条件/経路で「感染」します。
1. 電子メール経由でIEの脆弱性を利用
2. IISの脆弱性と「Code Red 2」が作ったバックドアを利用
3. ファイル共有を利用
4. Nimdaに感染したWebサイトの閲覧
クライアント側にいる私たちのほとんどがまず感染に気をつけなければいけないのが1の電子メールで,具体的には,「Microsoft Outlook」(以下Outlook)と「Microsoft Outlook Express」(以下Outlook Express)です。これらは「脆弱性」を指摘されているIEの機能を利用している。添付ファイル(readme.exe)付きメッセージを受信すると,Outlookでは「メールを開く」,Outlook Expressでは「プレビュー」(Outlookの「メールを開く」と同じ動作)で,Nimdaに感染します。
感染を防ぐにはIEのサービスパックを導入するか,IEをバージョンアップする必要がある。IE 5.01 SP2,IE 5.5 SP2,IE 6(Outlook Expressを含む標準構成以上)のインストールである。ただし,自動感染の防止にはなるが,添付ファイルを開くことなどのユーザーによるオペレーションが原因の感染は防げないので,添付ファイルの不用意なオープンはするべきではないです。
もちろん,これらの予防策は事前にNimda感染の有無を確認し,ローカルPCを「きれいな」状態にしておかねばならないことはいうまでもないです。そこで,トレンドマイクロ,日本ネットワークアソシエイツ,シマンテックなどのアンチウイルスソフトを使用しているなら,Nimda対応のウイルスパターンをダウンロード(製品によっては専用エンジンなどもダウンロードする必要がある)してアップデートする必要があります。
アンチウイルスソフトを持っていなかったり,アップデートを行えなかったりする場合は,各社で無償提供しているNimda専用チェック/駆除ツールを利用できます。これらの専用駆除ツールは実行したローカルPCでNimdaの活動を停止させ,感染しているファイルの修復,ウイルスが落としていったファイルを駆除,改ざんされたレジストリキーやゲストユーザーのアカウントを削除したりしてくれます。
アンチウイルスソフトやNimda専用駆除ツールを使うにせよ,システムのチェック/駆除が終わったら,必ずPCを再起動させ再度チェックを行い,Nimdaが完全に駆除できたことを確認することをお勧めします。
Nimdaの一番の問題はその感染力の高さで,Nimdaに汚染されたノートPCによって,別の場所のPCへNimdaを発信することです。
(松田安正)
■Nimda専用駆除プログラム
●W32.Nimda.A@mm駆除ツール
シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a%40mm.removal.tool.html
●PE_NIMDA.A駆除ツール
トレンドマイクロ
http://www.trendmicro.co.jp/nimda/tool.asp
PCがNimdaに感染しているかどうかを確認するためにNimda専用チェック/駆除ソフトを走らせてみたところ,見事に感染していた
トレンドマイクロのPE_NIMDA.A駆除ツールはDOS画面上で動く
シマンテックのW32.Nimda.A@mm駆除ツールの起動画面