Code Red II ワームの既知の影響を排除するツール
公開日: 2001年8月9日
マイクロソフトは、Code Red II ワームによって引き起こされる既知の被害を排除するツールを開発しました。このツールは以下の操作を実行します。
ワームによってインストールされた悪意のあるファイルを取り除きます。
システムを再起動して、メモリからワームを取り除きます。
既知のワームをインストールするのに使用されることが判明しているマッピングを排除します (削除されるマッピングに関しては以下の 「注意」 の欄をご覧下さい)。
サーバー上の IIS を恒久的に無効にするオプションを提供します。
注意
このツールを実行する事で適切な予防策の代わりとする事は出来ません。マイクロソフトはWindows NT 4.0 または Windows 2000 Web サーバーを実行している場合、Code Red による深刻な問題に対する防護策と対処方法についての説明で公開している作業を実行することを推奨します。ワームにまだ感染していないサーバーに関しては、この作業の実施により、システムのワームによる感染を防げるため、このツールを使用する必要がありません。
このツールは、/Scripts または /MSADC の IIS のマッピングを取り除きます。サーバーがこれらのマッピングを利用する必要がある場合、このツールをインストールした後に、手動でこれらのマッピングを再設定する必要があります。
ワームの性質のために、サーバーを再起動した後に、再度このツールを実行する必要があります。これにより、1 度目にツールを実行した際のワームの状態に関わらず、ワームを確実に排除出来ます。Windows 2000 をご利用のお客様は、ワームによりシステムファイルを置き換えられる可能性がありますので、sfc /scannow コマンドを実行して、システムファイルをスキャンすることをお勧めします。
このツールによって排除されるのは、CODE RED II ワームによる影響のみです。CODE RED に関する他の変種の影響は排除しません。
ワームによってシステムが感染した場合、さらに別の種類の攻撃を受ける可能性があります。このツールは、ワームによる直接的な影響のみを排除するため、サーバーの感染中に受けた他の種類の攻撃によって引き起こされる可能性のある別の被害を取り除くことはありません。
このツールはルーターまたはファイアウォールによってインターネットから保護されている内部のサーバー上での CODE RED II ワームの影響を排除するためには有益です。マイクロソフトは、ワームに感染しているサーバーのうちインターネットに直接接続しているものに関してはJP CERT WEB SITEで公開されているガイドラインにしたがって再構築することを推奨します。さらに、感染したサーバーとネットワーク的に近い距離にあることにより、危険にさらされていると判断されるほかのサーバーも、サービスを再開する前に、再構築することが必要です。
このツールを使用するには、以下の手順に従ってください。
https://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=9B7A1710-2B5C-4754-94D4-BC6A81A9A054 からこのツールをダウンロードして下さい。
感染しているマシンのディレクトリに、このツールを置いてください。
以下のコマンドを使用して、コマンド プロンプトからこのツールを実行してください。
toolname [-disable]
-disable フラグにより、サーバーの IIS が恒久的に無効になります。
注 : 感染の度合いにより、/Scripts または /MSADC の IIS のマッピングが削除されない場合があります。この場合は、下記の手順に従い、仮想ディレクトリの削除と修復を手動にて行ってください。
仮想ディレクトリの削除と修復
作業を行っていただきます前に、IIS の構成情報のバックアップと復元をご覧になり、バックアップを作成していただくことをお勧めいたします。
インターネット サービス マネージャ を起動します。
Windows NT 4.0 では、[スタート] - [Windows NT 4.0 Option Pack] - [Microsoft Internet Information Server] - [インターネットサービスマネージャ] を選択します。
Windows 2000 では、[スタート] - [設定] - [コントロールパネル] - [管理ツール] - [インターネットサービスマネージャ] を選択します。
"既定の Web サイト" を展開し、サイト内のディレクトリ一覧を表示します。
Scripts を選択し、プロパティを開きます。
[仮想ディレクトリ] タブを選択し、セキュリティの設定は、デフォルトでは以下のようになっています。お客様の設定をご確認ください。
ログアクセス - チェック
このリソースに索引を付ける - チェック
実行アクセス権 : スクリプトおよび実行ファイル
設定を確認・修正し、[OK] ボタンをクリックします。
MSADC を選択し、プロパティを開きます。
[仮想ディレクトリ] タブを選択し、セキュリティの設定は、デフォルトでは以下のようになっています。お客様の設定をご確認ください。
ログアクセス - チェック
読み取り - チェック
このリソースに索引を付ける - チェック
実行アクセス権 : スクリプトおよび実行ファイル
設定を確認・修正し、[OK] ボタンをクリックします。
C を選択し、削除します。
D を選択し、削除します。
インターネット サービス マネージャ を終了させてください。
関連情報
緊急 : Code Red ワームに対する警告 - 至急修正プログラムをインストールして下さい。
https://www.microsoft.com/japan/technet/security/alerts/codealrt.mspx
"Code Red" IIS ワームに関する情報
https://www.microsoft.com/japan/technet/security/alerts/info/codered.mspx
関連リンク
- Code Red IIS ワームに関する情報 (概略)
- Code Red ワームに対する警告
- Code Red による深刻な問題に対する防護策と対処方法についての説明
- Code Red II ワームの既知の影響を排除するツール
- Windows 2000 Professional 用 Code Red ワーム対策ガイド
- よくある質問と回答
- 更新履歴
関連サイト