Samba における Nimda ワーム対策
| KB番号 | J0109 |
| 最終更新日 | 2001/10/31 |
| 作成者 | はせがわようすけ |
| 最終更新者 |
対象
この文書は、以下のプロダクトに付いて説明したものです。
- Samba 2.0.x
- Samba 2.2.x
- Windows 95/98/Me/NT/2000
概要
この文書は Samba サーバにおける Nimda ワーム対策について記述しています。
説明
Nimda ワームは Microsoft IIS や Internet Explorer、Outlook系のメーラ以外にも、ネットワーク上の共有ディスクを介して感染します。
このときワームは、自分自身を共有ディスク上に *.nws 、 *.eml という名前で コピーし、また *.doc ファイルが含まれるフォルダには Riched20.dll という名前で 自分自身をコピーします。
10月末になって現れた新しいNimda ワームの亜種は、同様にHttpodbc.dll という名前で自分をコピーします。
Samba の提供する共有ディスクを介しての感染を防ぐには、以下のように設定します。
[global] ... veto files = /*.eml/*.nws/riched20.dll/httpodbc.dll/
veto files で指定しておくと、これにマッチするファイルが Samba サーバ上に存在する場合でも、 クライアントにはそれらのファイルは完全に隠され、アクセスすることはできなくなります。
また、上記の Nimda 対策以外にも、Samba-JP:09448 からのスレッドでは次のような点も指摘されています。
Samba サーバ上に "readme.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}" というファイルが 存在したときに、クライアントの Explorer 上からは "readme.txt" としか見えず、 このファイルをダブルクリックしたときに危険なコードが実行される可能性があります。
veto files = /*.{*}/ とすることにより、クライアントから拡張子に CLSID を持つ全てのファイル にアクセスできないように設定できます。
参考
- Symantec の "W32.Nimda.E@mm"情報サイト "W32.Nimda.A@mm"情報サイト
- Trend Micro の PE_NIMDA.A対策Web
- セキュリティホール memo - 2001.04
この技術情報は samba-jp:09448, samba-jp:10900 からの一連のスレッドの議論を元に作成されています。
