Nimda

Windows用のトロイの木馬型ワームの一つ。またファイル感染型コンピューターウイルスの一つでもある。

原種の正式名称はW32.Nimda.A@mm(Symantec名)、PE_NIMDA.A(Trend Micro名)である。

電子メールソフトMicrosoft Outlook/Microsoft Outlook Expressや、WebサーバーのIIS、そしてWebブラウザーInternet Explorerなどのセキュリティの低い環境を利用して感染を広めた。具体的にはMS00-078およびMS01-020の脆弱性を悪用して感染する。

まず、感染した電子メールにはREADME.EXEという添付ファイルが含まれている。このファイルはOutlook/Outlook Express/Internet ExplorerにあるMIME実装上の脆弱性を利用し、添付ファイルをクリックしなくても自動で実行されるように仕組まれている(MS01-020の悪用)。

実行されたワームはload.exeとriched20.dllというファイルを作り、ネットワーク共有を利用して他のコンピューターへの感染を試みる。更に、system.iniに "shell=explorer.exe load.exe -dontrunold" という行を追加し、Windows起動時に常に実行されるようにする。

そして、Outlook/Outlook Expressのアドレス帳を読み取り、README.EXEを添付したファイルを転送する。

また、Unicode Directory Traversalの脆弱性の影響を受けるIIS Webサーバーを探し、見つけたサーバーのファイルに、悪意あるJavaScriptコードを加え、改竄する。ここに、安全でないバージョンのInternet Explorerを利用してアクセスすると、自動的にreadme.emlというファイルをダウンロードして実行し、ワームをばら撒く動作を行なう。

このワームの作者による命名はConcept Virusである。最初に発見されたものには "Concept Virus(CV) V.5, Copyright(C)2001 R.P.China" という著作権表示がなされていた。しかし、既に別の "Concept Virus" が存在していたため、セキュリティ会社によって、システム管理者(system administrator)の略称adminを逆に読んだNimdaと命名された。どうもこの名はワーム作者のお気に召さなかったらしく、亜種B以降の新型Nimdaは "Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda)" (意味: これはCVだ。Nimdaじゃない)という著作権表示(?)がなされている。

通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)