Pages Menu
TwitterRssFacebook
Categories Menu

Posted by on 2月 17, 2005 in マルウェア | 0 comments

CodeRed II

今となってはちょっと古いウイルスですが、昨日バックドアの説明をした時に話題に出てきたウイルス、CodeRed(CodeRedII)について解説します。

CodeRedII はネットワーク型ワームです。

ワームとは?その2 「ネットワーク型ワーム」

IIS(Internet Information Server )って知っていますか?

Microsoftが開発したWebサーバ用のソフトで、消費者向けのPCには通常ないのですが、Windows2000などサーバ系のOSには標準で付属しています。

ですから、簡単にWebサーバが使えるという理由で使っているユーザや、自分でOSをインストールして知らないうちにIISを稼動させているユーザも結構います。

このIISですが、古いバージョンには結構たくさんセキュリティホールがありました。

便利なソフトの反面、多くの人が使っているという理由で、攻撃対象となりやすいソフトです。

CodeRedII はこのIISのセキュリティホールを利用し、通常のWebサーバへのアクセスに見せかけて、攻撃をしてきます。

パッチが適用されていないコンピュータへの攻撃が成功すると、CodeRedIIは「バックドア」をそのコンピュータ上に仕掛けます。

具体的にどのようなバックドアを仕掛けるのかと言うと、皆さんが使っているWindowsの左下の「スタート」ボタン上で右クリックすると「エクスプローラ」っていうメニューがありますよね?

これはWindows上のファイルをツリー上に表示してくれる便利なツールなんですが、これを外部から利用できるように改ざんしてしまいます。

また、CodeRedIIによって仕掛けられたバックドアを利用して感染を広げようとするウイルスも出現しました。

これがNimdaと呼ばれるウイルスです。

ウイルスを媒介としてさらに別のウイルスが広がっていくという非常に怖い自体が発生していました。

尚、CodeRedIIの怖いところは、通常のウイルスと違い、メモリ上で動作するウイルスであったということです。

メモリ上で動作するウイルスがなぜ怖いかについてはこちらで解説しています。