Ribbon: 新規追加

2006-08-23T08:59:17Z

新規追加

新規ページ

{{冒頭部|J0109|2001/10/31|はせがわようすけ}}
==対象==
この文書は、以下のプロダクトに付いて説明したものです。
* Samba 2.0.x
* Samba 2.2.x
* Windows 95/98/Me/NT/2000
==概要==
この文書は Samba サーバにおける Nimda ワーム対策について記述しています。
==説明==
Nimda ワームは Microsoft IIS や Internet Explorer、Outlook系のメーラ以外にも、ネットワーク上の共有ディスクを介して感染します。

このときワームは、自分自身を共有ディスク上に *.nws 、 *.eml という名前でコピーし、また *.doc ファイルが含まれるフォルダには Riched20.dll という名前で自分自身をコピーします。

10月末になって現れた新しいNimda ワームの亜種は、同様にHttpodbc.dll という名前で自分をコピーします。

Samba の提供する共有ディスクを介しての感染を防ぐには、以下のように設定します。

[global]
...
veto files = /*.eml/*.nws/riched20.dll/httpodbc.dll/

veto files で指定しておくと、これにマッチするファイルが Samba サーバ上に存在する場合でも、クライアントにはそれらのファイルは完全に隠され、アクセスすることはできなくなります。

また、上記の Nimda 対策以外にも、Samba-JP:09448 からのスレッドでは次のような点も指摘されています。

Samba サーバ上に "readme.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}" というファイルが存在したときに、クライアントの Explorer 上からは "readme.txt" としか見えず、このファイルをダブルクリックしたときに危険なコードが実行される可能性があります。

veto files = /*.{*}/ とすることにより、クライアントから拡張子に CLSID を持つ全てのファイルにアクセスできないように設定できます。
==参考==
* [http://www.symantec.com/region/jp Symantec] の [http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.e%40mm.html "W32.Nimda.E@mm"情報サイト] [http://www.symantec.com/region/jp/sarcj/nimda.html "W32.Nimda.A@mm"情報サイト]
* [http://www.trendmicro.co.jp/ Trend Micro] の [http://www.trendmicro.co.jp/nimda/ PE_NIMDA.A対策Web]
* [http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/04.html#20010417_double セキュリティホール memo - 2001.04]

この技術情報は samba-jp:09448, samba-jp:10900 からの一連のスレッドの議論を元に作成されています。

Samba における Nimda ワーム対策 - 版の履歴

Ribbon: 新規追加