ウイルス情報

ウイルス名

TFN2K

種別 トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
n/a (現在7659)
対応エンジン CyberCop (現在5600) 
エンジンバージョンの見分け方
別名 Tribal Flood Network2k
情報掲載日 00/01/27
発見日(米国日付) 99/12/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これはハッカーが使用するプログラムであり、Internet ftpおよびhttpサーバに対してDenial Of Service アタック(DoS)を仕掛けるものです。ソースコードとしてWebサイトに掲載されたため、多くの人がさまざまな変更を加え、内容が流動的になっています。 TFN2KはUNIXおよびWindows NT用に作られたものです。 TFN2Kとは"Tribal Flood Network 2K"の頭文字をとったもので、実際このプログラムはオリジナルのTFNコードをアップデートしたものです。TFNに関する詳細は、http://www.cert.org/incident_notes/IN-99-07.html#tfnをご参照ください。

ハッカーがTFN2Kを使用する目的は、無作為に作成したIPアドレスを使って、パケット スニッフィング ツールを混乱させることで、アタックの発信源の特定を回避することです。Ingress Filteringを使用するネットワーク システム上では、 TFN2Kは、あたかも同じドメイン上の他のシステムから送信されたようなパケットを生成することが可能です。アタックそのものは、ターゲットとなったシステム(複数の場合あり)に大量のパケット、形の異常なパケット、無効なパケットなどを送ることで、ネットワークにデータの洪水を引き起こすことによって起こります。同様のDoSアタックについては、CERT Advisoryのwebページ
(http://www.cert.org/advisories/CA-98-13-tcp-denial-of-service.html )
( http://www.cert.org/advisories/CA-97.28.Teardrop_Land.html )
をご覧ください。

TFN2Kは、クライアントが1対のTFN2Kサーバに対し、同時にコマンドを送信するという、クライアント/サーバ メカニズムを使用します。そのサーバはこの後、ターゲット(複数の場合あり)に対してDoSアタックを仕掛けます。このアタックには、あらかじめホストシステムにTFN2Kサーバをインストールしておくことが必要です。

分散DoSアタックに関する詳細は、http://www.cert.org/reports/dsit_workshop.pdf(Adobe Acrobatフォーマット)をご覧ください。