製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
Linux/Slapper.worm.c
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4225
対応定義ファイル
(現在必要とされるバージョン)
4251 (現在7535)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日02/09/25
発見日(米国日付)02/09/23
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/18W32/Expiro!7...
08/18GenericR-AXH...
08/18Generic.dx!B...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7535
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • このウイルスは、以前に公表された OpenSSL ライブラリ(0.9.6d および 0.9.7 beta 1 バージョン以前)の脆弱性を利用して、多くの Linux プラットフォームで Apacheにmod_ssl をインストールする際に繁殖します。
  • このウイルスは BSD/Scalper ウイルスを改変したもので、このウイルスから繁殖の戦略を受け継いでいます。
  • このウイルスは、A クラスのハードコード化されたリストから最初のバイトを選択し、2 番目のバイトをランダムに作成することによって作成されたクラス B のサブネット全体をスキャンします。
  • このウイルスは特定の Linux ディストリビューションしか攻撃しません。攻撃は、ポート 80 で初期 http 要求を送信し、サーバのヘッダ レスポンスを調べることにより行われます。
  • ターゲット サーバが上記のディストリビューションの1つを起動している場合にのみ、このウイルスはポート 443(https) を攻撃します。
  • 攻撃対象となるディストリビューションは次のものです。
    Linux distApache dist
    Gentoounknown
    Debian1.3.26
    Red-Hat1.3.6 1.3.9 1.3.12 1.3.19 1.3.20 1.3.26 1.3.23 1.3.22
    SuSE1.3.12 1.3.17 1.3.19 1.3.20 1.3.23
    Mandrake1.3.14 1.3.19 1.3.20 1.3.23
    Slackware1.3.26
  • これらのディストリビューションのみが Slapper ウイルスにより攻撃されることが知られていますが、openSSL の脆弱性が他のプラットフォームに悪影響を与えることもあり、新しい亜種では攻撃対象がより広範囲になる可能性があります。注:この脆弱性は Apache web サーバまたは mod_ssl とは関係ありません。脆弱性を無くすには、OpenSSL を最新バージョンにアップデートすることをお勧めします。
  • このウイスルは、脆弱なシステムにおいて、UUENCODE されたソース ファイルの形式で自身をアップロードし、デコードした後、そのソース ファイルを ELF バイナリにコンパイルします。そのバイナリファイルは、Unix/Scalper.worm.gen として検出されます。(BSD/Scalper.worm とある程度にいているので総称的に検出されます)
  • この技法(ローカルでの再コンパイル)は、異なる Linux ディストリビューションやフレーバで Linux バイナリを起動する場合に起こりうる、あらゆる不安定性の問題を回避するために使用されます。このウイルスは、ローカルの C コンパイラのコピーの存在とアクセス権に依存します。
  • エンコードされるソース ファイルおよびバイナリ ファイルの名前とロケーションは、ウイルスの亜種によって異なります。亜種の詳細については、下記を参照してください。
  • 感染したコンピュータは、ピアツーピア通信の原理で、感染サーバのグローバル ネットワークを構成します。
  • このネットワークは、リモート コマンドを受け取ることができるので、例えば、分散型サービス拒否(DDoS)攻撃または他の目的のために使用される可能性があります。あるコンピュータが受け取ったコマンドは、いずれもウイルス ネットワークの他のメンバーに転送されます。
  • P2Pネットワークから受け取るコマンドには、次のものが含まれます(亜種によって異なります)。
    • ip4、ip6、tcp、syn、udp、dnsの flood 攻撃
    • 有効な電子メールのファイル システムのスキャン
    • ファイルシステムに自身のコピーを複数作成
    • crontab へのエントリの追加
    • 感染システムに関する情報を特定の電子メール アドレスへ送信

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
以下のファイルが存在する。 
  • /tmp/.cinik.c
  • /tmp/.cinik.go
  • /tmp/.cinik.uu
  • /tmp/.cinik

感染方法TOPへ戻る
この Slapper の亜種は以下の方法を使用する。
  • P2P: ポート1978 udp を制御命令用に使用する。
  • Files: /tmp/.cinik.c(ソース)- tmp/.cinik.go(スクリプト)- /tmp/.cinik.uu(UUENCODE)- /tmp/.cinik(バイナリ)
  • 感染ホスト名リストを作者(cinik_worm@yahoo.com)に送信するために、追加のメール送信ルーチンを組み込む。
  • 以下の追加スクリプトをドロップ(作成)する。
    • ウイルス プロセス(httpd プロセスと同じ)で書き換え可能なフォルダを見つけるために、/usr/bin/find /usr /var /tmp /home /mnt を検索し、自身のコピーを .cinik としてドロップ(作成)する。
    • 書き換え可能なバイナリを自身のコピーで上書きし、再起動または強制終了後に確実に起動されるように、それぞれのコピー用のエントリを crontab に追加する。
    • 感染マシンに関する情報を収集し、cinik_worm@yahoo.com に送信する。

駆除方法TOPへ戻る
駆除方法について
    検出されたファイルはそのまま削除してください。ファイルの復旧は、バックアップあるいは元の製品から再インストールして行って下さい。
  • "crontab" ファイルの中身を検査し、不要なエントリを削除して下さい。
    サーバーから C コンパイラを削除するか、アクセス制限を付けることをお勧めします。
Linux/Unixの参考リンク集