| 「NIMDA」ウイルスは、マイクロソフト社のIISのセキュリティホールを利用してパッチのあたっていないWebサーバに不正なJAVAスクリプトをうめこみます。
一次感染
ユーザがこのウイルスによって改ざんされたホームページを訪れると「readme.eml」(拡張子emlはOutlook
Expressのメール形式)を自動的にオープンさせます。ユーザのマシンにInternet
Explorerのセキュリティホールのパッチが適用されていない場合、ウイルスに感染してしまいます。ウイルスは自身のSMTP(メール)エンジンを使用してウイルス付メール(「readme.exe」という添付ファイル)を自動的に送信し感染を拡大していきます。同時に、ランダムなIPアドレスをアクセスして、IISのパッチがあたっていないWebサーバの場合、同様にウイルスを埋め込む攻撃をしかけます。
二次感染
また、ウイルスは感染したマシンのA〜Zまでのドライブにウイルス自身をコピーし、共有したネットワークドライブを介しても感染を広げます。同時にウイルスはユーザのマシンの中のHTMLファイルを改ざんし、JAVAスクリプトを埋め込みますので、そのユーザがHPを公開している場合、HPを訪れた新たなユーザはウイルスに感染することになります。ウイルス付メールを受け取った新たなユーザがOutlook
ExpressまたはOutlookを利用し、かつInternet Explorerのセキュリティホールのパッチが適用されていない場合には、メールを見る(プレビュー機能)だけでウイルスに感染(ダイレクトアクション)します。 |