ウイルス情報

ウイルス名 危険度

Linux/Slapper.worm.c

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4225
対応定義ファイル
(現在必要とされるバージョン)
4251 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 02/09/25
発見日(米国日付) 02/09/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このウイルスは、以前に公表された OpenSSL ライブラリ(0.9.6d および 0.9.7 beta 1 バージョン以前)の脆弱性を利用して、多くの Linux プラットフォームで Apacheにmod_ssl をインストールする際に繁殖します。
  • このウイルスは BSD/Scalper ウイルスを改変したもので、このウイルスから繁殖の戦略を受け継いでいます。
  • このウイルスは、A クラスのハードコード化されたリストから最初のバイトを選択し、2 番目のバイトをランダムに作成することによって作成されたクラス B のサブネット全体をスキャンします。
  • このウイルスは特定の Linux ディストリビューションしか攻撃しません。攻撃は、ポート 80 で初期 http 要求を送信し、サーバのヘッダ レスポンスを調べることにより行われます。
  • ターゲット サーバが上記のディストリビューションの1つを起動している場合にのみ、このウイルスはポート 443(https) を攻撃します。
  • 攻撃対象となるディストリビューションは次のものです。
    Linux distApache dist
    Gentoounknown
    Debian1.3.26
    Red-Hat1.3.6 1.3.9 1.3.12 1.3.19 1.3.20 1.3.26 1.3.23 1.3.22
    SuSE1.3.12 1.3.17 1.3.19 1.3.20 1.3.23
    Mandrake1.3.14 1.3.19 1.3.20 1.3.23
    Slackware1.3.26
  • これらのディストリビューションのみが Slapper ウイルスにより攻撃されることが知られていますが、openSSL の脆弱性が他のプラットフォームに悪影響を与えることもあり、新しい亜種では攻撃対象がより広範囲になる可能性があります。注:この脆弱性は Apache web サーバまたは mod_ssl とは関係ありません。脆弱性を無くすには、OpenSSL を最新バージョンにアップデートすることをお勧めします。
  • このウイスルは、脆弱なシステムにおいて、UUENCODE されたソース ファイルの形式で自身をアップロードし、デコードした後、そのソース ファイルを ELF バイナリにコンパイルします。そのバイナリファイルは、Unix/Scalper.worm.gen として検出されます。(BSD/Scalper.worm とある程度にいているので総称的に検出されます)
  • この技法(ローカルでの再コンパイル)は、異なる Linux ディストリビューションやフレーバで Linux バイナリを起動する場合に起こりうる、あらゆる不安定性の問題を回避するために使用されます。このウイルスは、ローカルの C コンパイラのコピーの存在とアクセス権に依存します。
  • エンコードされるソース ファイルおよびバイナリ ファイルの名前とロケーションは、ウイルスの亜種によって異なります。亜種の詳細については、下記を参照してください。
  • 感染したコンピュータは、ピアツーピア通信の原理で、感染サーバのグローバル ネットワークを構成します。
  • このネットワークは、リモート コマンドを受け取ることができるので、例えば、分散型サービス拒否(DDoS)攻撃または他の目的のために使用される可能性があります。あるコンピュータが受け取ったコマンドは、いずれもウイルス ネットワークの他のメンバーに転送されます。
  • P2Pネットワークから受け取るコマンドには、次のものが含まれます(亜種によって異なります)。
    • ip4、ip6、tcp、syn、udp、dnsの flood 攻撃
    • 有効な電子メールのファイル システムのスキャン
    • ファイルシステムに自身のコピーを複数作成
    • crontab へのエントリの追加
    • 感染システムに関する情報を特定の電子メール アドレスへ送信

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

以下のファイルが存在する。 
  • /tmp/.cinik.c
  • /tmp/.cinik.go
  • /tmp/.cinik.uu
  • /tmp/.cinik

TOPへ戻る

感染方法

この Slapper の亜種は以下の方法を使用する。
  • P2P: ポート1978 udp を制御命令用に使用する。
  • Files: /tmp/.cinik.c(ソース)- tmp/.cinik.go(スクリプト)- /tmp/.cinik.uu(UUENCODE)- /tmp/.cinik(バイナリ)
  • 感染ホスト名リストを作者(cinik_worm@yahoo.com)に送信するために、追加のメール送信ルーチンを組み込む。
  • 以下の追加スクリプトをドロップ(作成)する。
    • ウイルス プロセス(httpd プロセスと同じ)で書き換え可能なフォルダを見つけるために、/usr/bin/find /usr /var /tmp /home /mnt を検索し、自身のコピーを .cinik としてドロップ(作成)する。
    • 書き換え可能なバイナリを自身のコピーで上書きし、再起動または強制終了後に確実に起動されるように、それぞれのコピー用のエントリを crontab に追加する。
    • 感染マシンに関する情報を収集し、cinik_worm@yahoo.com に送信する。

TOPへ戻る

駆除方法

駆除方法について

検出されたファイルはそのまま削除してください。ファイルの復旧は、バックアップあるいは元の製品から再インストールして行って下さい。

  • "crontab" ファイルの中身を検査し、不要なエントリを削除して下さい。
    サーバーから C コンパイラを削除するか、アクセス制限を付けることをお勧めします。
Linux/Unixの参考リンク集

以下にLinux/Unixサイトの参考リンク集を記します。システム管理者のみなさまは、下記のサイトを定期的にチェックして、重要セキュリティーアップデート、パッチをチェックすることをおすすめします。

  • Redhat Linux
  • Debian GNU/Linux
  • SuSe Linux
  • Caldera Linux
  • Sun Unix
  • FreeBSD Unix
  • TOPへ戻る