nimdaについて[☆が望む永遠]

Nimdaとは、Windows版IE5orIE6(最小インストール)だと感染するウイルス(ワーム)です。
とりあえず、9/30 AM3:00現在、分かっている症状のまとめと関連リンクです

簡易チェックとして
readme.exe
readme.eml
を検索するという手段があります。

改良型では上記ファイルとファイル名が異なるので、この方法は使えなくなりました。

対策方法

今後の類似問題の回避を含む、セキュリティ面だけ考えています。
使い勝手が低下するのが、気になる人はSP2もしくはIE6を入れてください。

■インターネットオプションのセキュリティタブの
　インターネットゾーン・イントラネットゾーン・信頼済みのサイト・制限つきサイト
　の4箇所全てのスクリプト、ActiveX、ファイルのダウンロード、IFRAMEを
　全て無効化する

上記の説明で、やり方が分からなければ、IE6のダウンロードサイト
で「最小」以外でダウンロード後、インストールしてください。

トレンドマイクロが提供する無償のNimda駆除ツールに偽装して、トロイの木馬型のハッキングツールを潜ませた
悪質なツール(FIX_NIMDA.exe)がメールで流通しています。
誰でもトレンドマイクロからダウンロードできますので、出所のはっきりしない物は使わないようにしましょう

症状

■Web閲覧による感染
IE5でSP2以降を当てている
Javaスクリプトを切っている
IE6だが、最小インストールではない
IE4.x以前
上記に当てはまらない場合
いわゆる「改ざんされたホームページを見た」だけで感染します

■メールによる感染
自身のコピーを添付したメールをウイルスが有しているSMTPエンジンを使用して送信。

このメールは本文が無く、サブジェクトはランダムな文字列か空欄なHTMLメール
添付ファイル名は「readme.exe」となっている。

Microsoft製メールソフトの一部バージョン(パッチの差か？)
では添付ファイル自体が見えない事も

なお、このメールはInternet Explorerのセキュリティホールに対するパッチが適用されていない場合、
HTMLメールをプレビューするだけで感染する。

送信先の取得方法は
Outlook(Outlook Express)の受信ボックス内のメールを読み、メールアドレスを取得
Outlook(Outlook Express)のアドレス帳から、メールアドレスを取得
Internet Explorerのキャッシュから、メールアドレスを取得

■IISサーバーへの感染
ランダムなIPアドレスを作成し、修正プログラムが適用されていないIIS Webサーバに感染を試みる
感染したIISサーバーは、公開しているWebへ不正なJava Scriptを埋め込む

■各ドライブ（共有含む）への感染
感染したPCの全てのドライブへおよびネットワークで共有されているドライブ全てに、自身をコピーし感染させる。
また、ネットワーク共有設定自体を書きかえる。

■ファイルの改竄
感染したPCの中にあるHTMLファイルを検索し、不正なJava Scriptを埋め込む。
気づかずにUPした場合、サーバーがIISでなくても、アクセスした人は感染する
exeファイル、zipファイルも書きかえるようです

■その他
　FTPエンジンがある
　IRC・ICQ等のメッセンジャー経由での感染がある
という話も一時流れましたが、続報がありませんのでガセと思われます