分かりやす〜い
コンピュータ技術情報

TOPに戻る
▼Virus
Code REDウィルスとは?
┣ マイクロソフトの説明
┃ とIIS機能

┣ アプリケーションソフ
┃ トは機能の寄集め

┣ 呼出・復帰時に行わ
┃ れる事

┣ 復帰の場所を変え
┃ てみると・・

┣ 感染したCode R
┃ EDは何を行うか

┣ 異常データをサーバ
┃ ーのバッファに格納

┣ プロセッサの保護機
┃ 能

┣ ウィルスの場所を特
┃ 定する

┣ウィルスコードを実
┃ 行する

┣ CodeREDの正体1
┗ CodeREDの正体2

Copyright(C) 2001-2002.ugpop. All rights reserved.




■デジタル用語辞典:

▲このページの上へ

■ マイクロソフトの説明とIIS機能 ■

みなさんは最近流行したCode REDウィルスをご存知ですか?
実は私が働いている職場でも被害に遭いました。
おかげでメールは送れなくなくなるわ、印刷できなくなるわ、
データの送信が出来なくなるわ、迷惑この上ないです。
皆さんはこんな物を(絶対に!)作らないようにしましょう。

では、Code REDウィルスの動作について説明です。
(くどいようですが絶対に作らないように!)

Code REDのウィルス情報を参照すると、以下の事が書いてあ
ります。難しく書いてあるのでさらっと読み流して下さい。

−↓マイクロソフトのホームページのウィルス情報−−−−
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
技術的な説明 :
IIS は、インストール プロセスの一部として、いくつかの
ISAPI エクステンション (.dll) をインストールします。
インストールされる拡張機能の 1 つに idq.dll があります。
idq.dll は Index Server (Windows 2000 では、Indexing
Service と呼ばれています) のコンポーネントの 1 つで、
管理スクリプト (.ida ファイル) と Internet Data Querie
s (.idq ファイル) をサポートします。

この idq.dll のURLの入力を処理するコードの部分に、未チ
ェックのバッファが含まれるためにセキュリティ上の脆弱性
が発生します。攻撃者が idq.dll がインストールされてい
るサーバーとの Web セッションを確立できた場合、攻撃者
はバッファのオーバーラン攻撃を仕掛け、Web サーバー上で
コードを実行する可能性があります。idq.dll は System コ
ンテキストで動作するため、この脆弱性を利用すると攻撃者
はサーバーを完全に制御することができ、そのサーバー上で
全ての任意の操作を実行することができます。

バッファのオーバーランは、インデックス機能がリクエスト
される前に起こります。その結果、idq.dll は Index Serve
r/Indexing Service のコンポーネントであるにもかかわらず、
サービスが稼動していなくても、攻撃者はこの脆弱性を利用
することができます。.idq または .ida のスクリプト マッ
ピングが存在しており、攻撃者が Web セッションを確立でき
る限り、攻撃者はこの脆弱性を利用することができます。

この脆弱性は極めて深刻です。マイクロソフトは、全てのお
客様に直ちに対応策を取ることを強く推奨します。この修正
プログラムをインストールできないお客様は、IIS の Inter
net Services Manager を使用して .idq および .ida ファイ
ルのスクリプト マッピングを削除して、システムを保護して
ください。しかし、よく寄せられる質問で詳細に説明してい
るように、システム コンポーネントが追加されたり、削除さ
れた場合、このマッピングが元に戻ってしまう可能性があり
ます。このため、マイクロソフトは IIS をご使用の全てのお
客様に、スクリプト マッピングを削除した後でもこの修正プ
ログラムをインストールすることを推奨します。
−−−−−−−−−−−−−−−−−−−−−−−−−−−

なるほど。立派な?ハッカーならこれを読んだだけで納得し
ます。
難しいと思われる方も多いと思いますので、上記の事をかな
り無理して3行にまとめて書きます。では続きを読んで下さ
い。

−↓無理して3行にまとめてみた−−−−−−−−−−−−
マイクロソフトWINDOWS2000のIIS機能に存在しているバッフ
ァオーバーランのバグをついてCode REDウィルスは活動を開
始します。
−−−−−−−−−−−−−−−−−−−−−−−−−−−

まだ難しいでしょうか?この3行の中にも2つ程難しい言葉
があります。「IIS機能」と「バッファオーバーランのバグ」
です。1つづつ解説します。

まず「IIS機能」です。「IIS機能」というのは、Internet
Information Serviceの略です。皆さんが普段使用している、
WEBやFTPとかを行なう機能の事です。
と言っても、インターネットエクスプローラの事ではありま
せん。インターネットエクスプローラはクライアント側の機
能ですから。
「IIS機能」というのはサーバー側の機能で、サーバーを立ち
上げてホームページを公開したりする人が使う機能の事です。

先ほど出てきた、「無理してまとめてみた3行」の中には、
もう1つ分かりにくい言葉があります。それは「バッファオ
ーバーランのバグ」です。
それでは「バッファオーバーランのバグ」というのは何でし
ょうか。
その説明は次回にまわしたいと思います。




         ▲このページの上へ    続きを読む→