製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
Linux/Slapper.worm.b
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4225
対応定義ファイル
(現在必要とされるバージョン)
4251 (現在7565)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日02/09/25
発見日(米国日付)02/09/22
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
2002年9月26日更新情報

この亜種は、拡散能力を失い、脅威は無くなったと思われます。これは、感染メカニズムによるものです。一度リモートシステムにアクセスすると、ウイルスは、ルーマニアにあるサーバーからソース(cinik.c)をダウンロードします。その後、コンパイラを起動し、実行します。その上記のサーバーが無効化された為、"b" 亜種は拡散できなくなりました。"a"、"c" 亜種はまだ活動中です。

  • このウイルスは、以前に公表された OpenSSL ライブラリ(0.9.6d および 0.9.7 beta 1 バージョン以前)の脆弱性を利用して、多くの Linux プラットフォームで Apacheにmod_ssl をインストールする際に繁殖します。
  • このウイルスは BSD/Scalper ウイルスを改変したもので、このウイルスから繁殖の戦略を受け継いでいます。
  • このウイルスは、A クラスのハードコード化されたリストから最初のバイトを選択し、2 番目のバイトをランダムに作成することによって作成されたクラス B のサブネット全体をスキャンします。
  • このウイルスは特定の Linux ディストリビューションしか攻撃しません。攻撃は、ポート 80 で初期 http 要求を送信し、サーバのヘッダ レスポンスを調べることにより行われます。
  • ターゲット サーバが上記のディストリビューションの1つを起動している場合にのみ、このウイルスはポート 443(https) を攻撃します。
  • 攻撃対象となるディストリビューションは次のものです。
    Linux distApache dist
    Gentoounknown
    Debian1.3.26
    Red-Hat1.3.6 1.3.9 1.3.12 1.3.19 1.3.20 1.3.26 1.3.23 1.3.22
    SuSE1.3.12 1.3.17 1.3.19 1.3.20 1.3.23
    Mandrake1.3.14 1.3.19 1.3.20 1.3.23
    Slackware1.3.26
  • これらのディストリビューションのみが Slapper ウイルスにより攻撃されることが知られていますが、openSSL の脆弱性が他のプラットフォームに悪影響を与えることもあり、新しい亜種では攻撃対象がより広範囲になる可能性があります。注:この脆弱性は Apache web サーバまたは mod_ssl とは関係ありません。脆弱性を無くすには、OpenSSL を最新バージョンにアップデートすることをお勧めします。
  • このウイスルは、脆弱なシステムにおいて、UUENCODE されたソース ファイルの形式で自身をアップロードし、デコードした後、そのソース ファイルを ELF バイナリにコンパイルします。そのバイナリファイルは、Unix/Scalper.worm.gen として検出されます。(BSD/Scalper.worm とある程度にいているので総称的に検出されます)
  • この技法(ローカルでの再コンパイル)は、異なる Linux ディストリビューションやフレーバで Linux バイナリを起動する場合に起こりうる、あらゆる不安定性の問題を回避するために使用されます。このウイルスは、ローカルの C コンパイラのコピーの存在とアクセス権に依存します。
  • エンコードされるソース ファイルおよびバイナリ ファイルの名前とロケーションは、ウイルスの亜種によって異なります。亜種の詳細については、下記を参照してください。
  • 感染したコンピュータは、ピアツーピア通信の原理で、感染サーバのグローバル ネットワークを構成します。
  • このネットワークは、リモート コマンドを受け取ることができるので、例えば、分散型サービス拒否(DDoS)攻撃または他の目的のために使用される可能性があります。あるコンピュータが受け取ったコマンドは、いずれもウイルス ネットワークの他のメンバーに転送されます。
  • P2Pネットワークから受け取るコマンドには、次のものが含まれます(亜種によって異なります)。
    • ip4、ip6、tcp、syn、udp、dnsの flood 攻撃
    • 有効な電子メールのファイル システムのスキャン
    • ファイルシステムに自身のコピーを複数作成
    • crontab へのエントリの追加
    • 感染システムに関する情報を特定の電子メール アドレスへ送信

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 以下のファイルが存在する。 
    • tmp/.unlock.c
    • tmp/.update.c
    • /tmp/.unlock.uu
    • /tmp/httpd

感染方法TOPへ戻る
  • この Slapper の亜種は以下の方法を使用する。
    • P2P: ポート4156 udpを制御命令用に使用する。
    • Files: /tmp/.unlock.c /tmp/.update.c(ソース)- /tmp/.unlock.uu(UUエンコード)- /tmp/http(バイナリ)
    • 感染ホスト名リストを作者(aion@ukr.net)に送信するために、追加のメール送信ルーチンを組み込む。
    • 追加のバックドア コンポーネント(/tmp/.update.c)をドロップ(作成)する。このコンポーネントは、パスワードにより保護されているポート1052の聴取を行う。
    • プロセス リスト内でより巧妙に隠れるために、ウイルスのプロセス名が"httpd"に変更されている。

駆除方法TOPへ戻る
駆除方法について
    検出されたファイルはそのまま削除してください。ファイルの復旧は、バックアップあるいは元の製品から再インストールして行って下さい。
  • "crontab" ファイルの中身を検査し、不要なエントリを削除して下さい。
    サーバーから C コンパイラを削除するか、アクセス制限を付けることをお勧めします。
Linux/Unixの参考リンク集