本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス
Net-Worm
プラットフォーム
Linux

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Net-Worm

ネットワームはコンピュータネットワークを介して伝播します。この種のワームの特徴は、普及するためにユーザーの操作を必要としないことです。この種のワームは、通常、ネットワーク上のコンピュータ上で動作するソフトウェアの重大な脆弱性を検索します。ネットワーク上のコンピュータを感染させるために、ワームは特別に細工されたネットワークパケット(悪用と呼ばれます)を送信し、その結果ワームコード(またはワームコードの一部)が被害者のコンピュータに侵入して起動します。ネットワークパケットには、メインワームモジュールを含むファイルをダウンロードして実行するワームコードの部分しか含まれていないことがあります。一部のネットワークワームは、複数の攻撃を同時に使用して感染するため、犠牲者を見つける速度が向上します。

プラットフォーム: Linux

Linuxは、LinuxカーネルとGNUツールをベースにしたUNIXベースのオペレーティングシステムファミリです。

説明

技術的な詳細

これは、RedHat Linuxシステムに感染する最初の既知のワームです。このワームは、2001年1月中旬に発見されました。ワームは、リモートシステムへのアップロードと短いファイルの実行を可能にするRedHatセキュリティ違反(いわゆる "バッファオーバーラン"違反)を使用して、システムからシステムへと広がります。そこでコードを実行して、メインワームコンポーネントをダウンロードしてアクティブ化します。

このワームはVirusLabでテストされていませんので、以下のすべての情報は「ワームが本当にうまくいくかどうか」と読んでください。また、お客様からの感染したサーバーに関する確認済みの報告はありません。

ワームは、RedHatバージョン6.2と7.0の3つのセキュリティ違反を使用しています。これらの違反は2000年夏の夏に発見されました。少なくとも3か月前に発見されました。

ワームには、FreeBSDやSuSEマシンを攻撃するルーチンも含まれていますが、これらのルーチンはワームコードでは有効にされず、使用されません。

ワーム自体

これは、全長約300Kの26個のファイルからなるマルチコンポーネントワームです。これらのファイルは、スクリプトプログラムと実行可能ファイルです。スクリプトプログラムは、Linuxのコマンドシェル(DOSのBATファイルやWindowsのCMDファイルなど)によって実行される ".sh"ファイルです。実行可能ファイルは標準のLinux ELF実行ファイルです。

ワームの主なコンポーネントは、ホストとして実行されるスクリプト ".sh"ファイルであり、残りのファイル(追加の ".sh"ファイルとELF実行ファイル)を実行して必要なアクションを実行します。

コンポーネントのリストは次のように表示されます。

 asp hackl.sh randb62 start62.sh wh.sh asp62 hackw.sh randb7 start7.sh wu62 asp7 index.html s62 synscan62 bd62.sh l62 s7 synscan7 bd7.sh l7 scan.sh w62 getip.sh lh.sh start.sh w7 

"62"コンポーネントはRedHat 6.2システムでアクティブ化され、 "7"コンポーネントはRedHat 7.0でアクティブ化されます。 "wu62"ファイルはまったく使用されていません。

広がる

拡散(リモートLinuxマシンへの感染)は、「バッファーオーバーラン」攻撃によって行われます。この攻撃は、攻撃対象のマシンに送信される特別なパケットとして実行されます。パケットには、特別に準備されたデータブロックがあります。そのパケットデータブロックは、そのマシン上のコードとして実行されます。このコードは、感染マシンへの接続を開き、ワームのコードの残りの部分を取得し、それを有効にします。この時点で、マシンは感染し、さらにワームを広げ始めます。

このワームは、machine-to-machineから、 "ramen.tgz"という名前の "tgz"アーカイブ(標準のUNIXアーカイブ)として転送され、26のワームコンポーネントが内部に格納されます。ワームは、新しいマシンに感染している間にパッケージを解凍し、メインの "start.sh"ファイルを実行し、その後、他のワームコンポーネントを起動します。

ワームのコンポーネントは、グローバルネットワーク上の他のLinuxマシンをスキャンし、「バッファオーバーラン」攻撃が成功した場合にワームをアップロードします。

ワームはまた、起動する ".sh"ファイルを "/etc/rc.d/rc.sysinit"ファイルに実行するコマンドを追加します。その結果、ワームのコンポーネントは、システムが起動するたびに起動されます。

ワームは、システムに感染するために使用されたセキュリティ違反もクローズします。したがって、感染したマシンはこのワームによって2度攻撃されることはありません。

詳細

ワームは、リモートマシンを攻撃するためにリモートマシンのIPアドレスを取得するために、使用可能なグローバルネットワーク上でIPアドレスをスキャンします。すなわち、標準的な「スニッファ」ユーティリティと同様に動作する。

ワームは、リモートシステムを攻撃するために、RedHat Linuxの3つの悪魔である "statd"、 "lpd"、 "wu-ftp"のセキュリティ脆弱性を利用しています。

ワームの "バッファーオーバーラン"コードには、リモートマシン上でそのコピーをアップロードしてアクティブ化するための命令が含まれています。 "root"特権に切り替え、コマンドシェルを実行し、

  • ワーム "tgz"ファイルをダウンロードするディレクトリを作成し、ディレクトリ名は "/usr/src/.poop"
  • 次のステップに必要な「TERM = vt100」変数をエクスポートします。
  • ホストマシン(ワームが広がっているマシン)からワーム "tgz"ファイルをダウンロードする "lynx"(単にWWWブラウザ)を実行します。
  • すべてのワームコンポーネントを "tgz"アーカイブから解凍する
  • ワームの起動コンポーネントを実行する: "start.sh"ファイル

"ramen.tgz"アーカイブを送信するために、ワームはワームの "tgz"アーカイブをワーム "バッファオーバーラン"コンポーネントからの要求によって送信する追加のサーバー "asp"を実行します。

その他

ワームには複数のペイロードとその他の非感染ルーチンがあります。

まず、ルートディレクトリからローカルマシン上のすべての "index.html"ファイル(Webサーバーの開始ページ)を見つけ、次のテキストを含む独自の "index.html"ファイルに置き換えます。

RameN Crewハッカーたちlooooooooooooooooove noodles。<sup> TM </ sup>

ワームは "/etc/hosts.deny"ファイルを削除します。このファイルには、このシステムへのアクセスが拒否されたホスト(アドレスおよび/またはインターネット名)のリストが含まれています(いわゆるTCPラッパーが使用されている場合)。その結果、制限されたマシンのいずれかが影響を受けるシステムにアクセスできます。

新しいシステムが感染すると、ワームは3つの電子メールアドレスに「通知」メッセージを送信します。

  1. 感染したマシンのアドレス
  2. gb31337@hotmail.com
  3. gb31337@yahoo.com

Subjectは感染したマシンのIPアドレスです。メッセージ本文には次のテキストが含まれています:

あなたのラーメンを食べる!

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Confirm changes?
Your message has been sent successfully.