Nimda
先日、世間を騒がせていたCode Redワームが沈静化していってるなかで、今度は新手のワームNimdaが昨夜から急激に広まっているらしい。何でも、msnも昨夜やられたらしく、閲覧していた人は感染した人もいるらしい。いちおう、今のところ既に対処はしてるのでmsnへのアクセスもOKらしいが。
このワームのせいで、社内は大パニックであった。Webサーバへの感染はIIS経由で行われるのだが、アタック自体はところかまわず行われるので、IIS以外のWebサーバでも過負荷がおこってしまっているようなのだ。アタックの頻度は、Code Redの時よりひどいらしい。
この「Nimda」が怖いのは、サーバー、クライアント問わずに感染してしまうところ。IISが入ってなくても感染する。特にクライアントPCは、PS2があたっていないIE,OEを使っていると危険。感染したサーバーを閲覧しただけで感染する危険があるから。
大体こういった相関図。
| IISのセキュリティーホールを使われて感染 | ──────→ | 次サーバー内のページを改竄される。 | ──────────┐ ↓ | |
| ↑ └──── | ||||
| 感染したPCからWebサーバーにアタックをかける | ←──────────── | 改竄されたページを見たPCが感染する。 | ||
| ┌───→ │ | ||||
| │ ←────┘ | ||||
| 電子メールを利用して他のPCへ感染 | ||||
Webサーバーの場合は、例え感染しなくとも相当なアタックを受けているはず。
クライアントの場合は、とりあえず自身への実害はないのかという気はしている。ただし、感染すると逆に加害者側へ回ってしまうことになるが。
とりあえず、「readme.exe」という名前のファイルがあると感染している危険があるらしい。ただし、実行してなければ大丈夫という説もあるけど。会社のマシンにはこれが入っていた。実行されていたかは定かでないが。
とりあえず、クライアントPCに関してはIEの5.01 SP2または5.5 SP2が当たっていれば問題ないようです。
ちなみに自宅のマシンは既にSP2があたっていました。OSの方も以前にCode Red対策でWindows2000のSP2をあててあるので問題ないでしょう。
