製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
Linux/Slapper.worm.d
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4227
対応定義ファイル
(現在必要とされるバージョン)
4251 (現在7593)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Linux/Devnull
Linux/Kaiten
Linux/Mighty
情報掲載日02/10/02
発見日(米国日付)02/09/30
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • Linux/Slapper.d は、オリジナルの Linux/Slapper.a.worm のエクスプロイト コードに基づいています。このウイルスは、シェル スクリプトを使用して、特定の Web サーバからファイルをダウンロードします。
  • このウイルスは、"k.gz" というファイルをダウンロードし、解凍して実行しようとします。解凍されたファイル "k" は ELF バイナリ ファイルです。このファイルは、定義ファイル 4227 以降を使用すると、Linux/DDoS-Kaiten として検出されます。
  • このウイルスは、ローカル システムで "gcc" コンパイラの存在をチェックし、見つけた場合、.socket2 というディレクトリを作成します。次に、"devnull.tgz" という圧縮ファイルをダウンロードします。このファイルを解凍すると、"devnull" という ELF バイナリ ファイルと "sslx.c" というソース スクリプト ファイルの2つのファイルが作成されます。sslx.c ファイルは ElF バイナリ "sslx" にコンパイルされます。これらのファイルは、定義ファイル 4227 以降を使用すると、Linux/Slapper.worm として検出されます。
  • したがって、このウイルスはアクティブになると、プロセス "k" および "devnull" を使用します。
  • このウイルスは、特定の Web サーバからファイルをダウンロードしようとするため、その影響は限られていると思われますが、IRC チャンネルによって制御できます。また、以前の Linux/Slapper 亜種とは異なり、仮想ネットワークを構築しないため、DDoS 攻撃の危険はより低くなっています。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • k.gz(圧縮、15740 バイト)が存在する。
  • k(elf バイナリ、37237 バイト)が存在する。
  • /.socket/devnull.tgz(圧縮、13507 バイト)が存在する。
  • /.socket/devnull(elfバイナリ、19050 バイト)が存在する。
  • /.socket/sslx.c(ソース、20265 バイト)が存在する。
  • /.socket/sslx(elf バイナリ、サイズは可変)が存在する。
  • script.sh(シェル スクリプト、471 バイト)が存在する。

感染方法TOPへ戻る

駆除方法TOPへ戻る
駆除方法について
    検出されたファイルはそのまま削除してください。ファイルの復旧は、バックアップあるいは元の製品から再インストールして行って下さい。
  • "crontab" ファイルの中身を検査し、不要なエントリを削除して下さい。
    サーバーから C コンパイラを削除するか、アクセス制限を付けることをお勧めします。
Linux/Unixの参考リンク集