Samba における Nimda ワーム対策

提供:Samba-JP
J109から転送)
ナビゲーションに移動検索に移動
KB番号 J0109
最終更新日 2001/10/31
作成者 はせがわようすけ
最終更新者

対象

この文書は、以下のプロダクトに付いて説明したものです。

  • Samba 2.0.x
  • Samba 2.2.x
  • Windows 95/98/Me/NT/2000

概要

この文書は Samba サーバにおける Nimda ワーム対策について記述しています。

説明

Nimda ワームは Microsoft IIS や Internet Explorer、Outlook系のメーラ以外にも、ネットワーク上の共有ディスクを介して感染します。

このときワームは、自分自身を共有ディスク上に *.nws 、 *.eml という名前で コピーし、また *.doc ファイルが含まれるフォルダには Riched20.dll という名前で 自分自身をコピーします。

10月末になって現れた新しいNimda ワームの亜種は、同様にHttpodbc.dll という名前で自分をコピーします。

Samba の提供する共有ディスクを介しての感染を防ぐには、以下のように設定します。

 [global]
   ...
   veto files = /*.eml/*.nws/riched20.dll/httpodbc.dll/

veto files で指定しておくと、これにマッチするファイルが Samba サーバ上に存在する場合でも、 クライアントにはそれらのファイルは完全に隠され、アクセスすることはできなくなります。

また、上記の Nimda 対策以外にも、Samba-JP:09448 からのスレッドでは次のような点も指摘されています。

Samba サーバ上に "readme.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}" というファイルが 存在したときに、クライアントの Explorer 上からは "readme.txt" としか見えず、 このファイルをダブルクリックしたときに危険なコードが実行される可能性があります。

veto files = /*.{*}/ とすることにより、クライアントから拡張子に CLSID を持つ全てのファイル にアクセスできないように設定できます。

参考

この技術情報は samba-jp:09448, samba-jp:10900 からの一連のスレッドの議論を元に作成されています。