本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Net-Worm.Win32.IISWorm

クラス Net-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、インターネットインフォメーションサーバ(ISS)を感染させてWebサイトを標的にしようとする最初の既知のワームです。このワームは、EXEファイルを送信して実行することによって、あるWebサイトから他のWebサイトに広がる方法を実現します。ワームファイルの名前は一定です – IISWORM.EXE。

ワームは、IISパッケージとWebサイトのコンテンツがインストールされているマシンのみに感染します。そのようなマシン上で実行されているワームアプリケーションは、リモートWebサイト(インストールされたIISパッケージを持つリモートマシン)を見つけて感染させます:それを入力し、トリックを使用してそのコピーをそこに送り、そこにコピーを生成します。その結果、現在感染しているマシンからアクセス可能なすべてのWebサーバーに感染し、他の感染したサーバーはワームのコピーをさらに広げます。

1988年に米国のネットワークに侵入した有名な「Morrisウイルス」(別名「インターネットワーム」​​)によって、同様の感染方法が使用されました。このワームは数千台のコンピュータに感染し、無制限のコピーが送信されたため多くのネットワークを麻痺させました。幸いにも、 "IISWorm"には致命的なバグがあり、その話を繰り返すことはできません。このワームは、そのコピーを最初のIISマシンに広めることができるようですが、それ以上の広がりはありません。

ワームコードには拡散ルーチンだけが含まれており、トリガールーチンは含まれていません。このワームは、いかなる形でも現れません。

詳細

ワーム自体は、Borland C ++で書かれた約80KのWin32アプリケーションです。これは、標準のWindowsアプリケーションとして実行され、接続を開き、HTTPパケット形式を使用して自身を広げます。

犠牲者サーバを見つけるために、このワームは、INetpubディレクトリ内のすべての* .HTM *ファイル内のWebサイトアドレスを探します。

wwwroot
wwwルート
inetpubwwwroot
inetpubwwwルート
websharewwwroot

ワームは、Webサイトのアドレスを使用してそれらを接続し、そこに爆弾パッケージを送信します。このパッケージは、IISソフトウェアの脆弱性を悪用しています。パッケージは、そのデータがリモートIIS上のデータバッファと重なり、そこにコードとして(リモートIISで)パッケージのブロックが実行されるように構築されています。このコードは、 "親"マシンへの接続を開き、ワームの完全なコピー(IISWORM.EXEファイル)を取得し、それをディスク上に作成して生成します。その結果、リモートのIISマシンが感染し、そのワームがアクティブになり、拡散し続けます。

ラボでのテストでは、ワームの拡散を防ぐワームコードにいくつかの間違いがありました。このワームは、IISおよびWinNT ServicePackのバージョンにも依存しているようです。


オリジナルへのリンク