Nimda

Nimda という worm が物凄い勢いで広まっています。CodeRed の時よりも速いようです。というわけで,とりあえず情報収集。随時追加予定。

…などと言っている間に、随分おとなしくなってしまった。身近な被害情報さえ収集できずじまい。(^^;; もっともこの(見かけの)鎮静化は、Nimda が近所のマシンを主に狙う(CERT advisory CA-2001-26 の "Payload" の部分を参照。この挙動は CodeRed II の場合と同じかな。)ためかも知れない。

9/27 から、再び Nimda によるものと思われるアタックが増加。なんでも 10 日休眠するってコードが入ってるらしい。油断禁物。

10 月中旬ころから、アタックがほとんど来なくなってます。そろそろ次のピークが来るはずなんだけど。…なんて思ってたら、10/22 くらいから激しい。その後はすっかり落ち着いた模様。

Nimda 情報

  1. CERT Advisory CA-2001-26 Nimda Worm
  2. symantec security response
  3. サーバも PC もターゲットに
    ZDNet News の 9/19 の記事。
  4. セキュリティホール memo ML
  5. そのまとめらしきモノ
  6. TREND MICRO の Nimda 対策ページ
    駆除/修復ツールもあります。
  7. ブリリアントで性悪な Nimda は、何のために生まれてきたか
    ZDNet のまとめっぽい記事。9/21。
  8. Nimda、休眠を経て活動再開へ
    ZDNet の 9/28 の記事。
  9. 010919-Analysis-Nimda.pdf
    SecurityFocus による Nimda の解析レポート。PDF です。英語。

ついでに CodeBlue 情報

  1. ISS 技術情報

さらについでに CodeGreen 情報

  1. CERT Current Activity

web server のアクセスログでは、これらはそれぞれ次のような記録を残します(けいじわんたじまさんの掲示より)。しかしこれだと、Nimda と CodeBlue の区別がつかないのだ。誰か identify の方法を知りませんか?

Code Green
"Code Green" will leave the following signature in web server logs (the presence of this log entry does not necessarily indicate an infection):

"GET/default.ida?Code_Green_<I_like_the_colour-_-><AntiCodeRed-CodeRedIII- IDQ_Patcher>_V1.0_beta_written_by_'Der_HexXer'-Wuerzburg_Germany-_is_dedicated_ to_my_sisterli_'Doro'.Save_Whale_and_visit_<www.buhaboard.de>_and_<www.buha- security.de>%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3 %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"
Nimda
The scanning activity of the Nimda worm produces the following log entries for any web server listing on port 80/tcp:

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
Code Blue
Code Blue は対象に HTTP HEAD 照会を送信し,対象からのレスポンスを検査します.IISがインストールされていることが 分かると,Code Blue は HTTP GET 要求を送信し,「Webサーバーフォルダへの侵入」の脆弱点を悪用しようと試みます. こうした要求は,次のような形式です.

GET /.. [Encoded characters] ../winnt/system32/cmd.exe?/c+dir
[ 番大' 小屋 ] [ 大' 小屋]
ご意見ご感想は「けいじわん」(WebBBS)へ
satodai@dog.intcul.tohoku.ac.jp