ウイルス情報

ウイルス名 危険度

Linux/Slapper.worm.d

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4227
対応定義ファイル
(現在必要とされるバージョン)
4251 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Linux/Devnull
Linux/Kaiten
Linux/Mighty
情報掲載日 02/10/02
発見日(米国日付) 02/09/30
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • Linux/Slapper.d は、オリジナルの Linux/Slapper.a.worm のエクスプロイト コードに基づいています。このウイルスは、シェル スクリプトを使用して、特定の Web サーバからファイルをダウンロードします。
  • このウイルスは、"k.gz" というファイルをダウンロードし、解凍して実行しようとします。解凍されたファイル "k" は ELF バイナリ ファイルです。このファイルは、定義ファイル 4227 以降を使用すると、Linux/DDoS-Kaiten として検出されます。
  • このウイルスは、ローカル システムで "gcc" コンパイラの存在をチェックし、見つけた場合、.socket2 というディレクトリを作成します。次に、"devnull.tgz" という圧縮ファイルをダウンロードします。このファイルを解凍すると、"devnull" という ELF バイナリ ファイルと "sslx.c" というソース スクリプト ファイルの2つのファイルが作成されます。sslx.c ファイルは ElF バイナリ "sslx" にコンパイルされます。これらのファイルは、定義ファイル 4227 以降を使用すると、Linux/Slapper.worm として検出されます。
  • したがって、このウイルスはアクティブになると、プロセス "k" および "devnull" を使用します。
  • このウイルスは、特定の Web サーバからファイルをダウンロードしようとするため、その影響は限られていると思われますが、IRC チャンネルによって制御できます。また、以前の Linux/Slapper 亜種とは異なり、仮想ネットワークを構築しないため、DDoS 攻撃の危険はより低くなっています。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • k.gz(圧縮、15740 バイト)が存在する。
  • k(elf バイナリ、37237 バイト)が存在する。
  • /.socket/devnull.tgz(圧縮、13507 バイト)が存在する。
  • /.socket/devnull(elfバイナリ、19050 バイト)が存在する。
  • /.socket/sslx.c(ソース、20265 バイト)が存在する。
  • /.socket/sslx(elf バイナリ、サイズは可変)が存在する。
  • script.sh(シェル スクリプト、471 バイト)が存在する。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

駆除方法について

検出されたファイルはそのまま削除してください。ファイルの復旧は、バックアップあるいは元の製品から再インストールして行って下さい。

  • "crontab" ファイルの中身を検査し、不要なエントリを削除して下さい。
    サーバーから C コンパイラを削除するか、アクセス制限を付けることをお勧めします。
Linux/Unixの参考リンク集

以下にLinux/Unixサイトの参考リンク集を記します。システム管理者のみなさまは、下記のサイトを定期的にチェックして、重要セキュリティーアップデート、パッチをチェックすることをおすすめします。

  • Redhat Linux
  • Debian GNU/Linux
  • SuSe Linux
  • Caldera Linux
  • Sun Unix
  • FreeBSD Unix
  • TOPへ戻る