本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Linux.Osf

検出日 01/17/2007
クラス Virus
プラットフォーム Linux
説明

Linux.OSF.8759は、バックドア機能の強化されたウイルスで、Linuxシステム上で複製し、ELF実行可能ファイルに感染します。

ウイルスに感染したファイルのファイルサイズは8759バイト増加します。 3979バイトは実際のウイルスコードに属し、他の4662バイトはファイルの最後にウイルスによって添付されたバックドアのコードに属します。

バックドアコードはウイルスとともにコピーされますが、更新されたバージョンに簡単に置き換えることができるように設計されているようです – バックドアはELF構造にリンクされていませんが、ウイルス自体によってロードされ実行されます。したがって、このウイルスの改良されたバージョン、特にバックドアコードの将来のバージョンが期待できます。

このウイルスは、現在のディレクトリ内のすべてのファイルに感染しますが、ファイル名が "ps"で終わるファイルは感染しません。

明確にするには: "steps"やUnixユーティリティツール "PS"などの名前を持つファイルは、感染の恐れがありません。ファイル名の最後の2文字は "P"と "S" 。

ルートアカウントから実行すると、ウイルスは "/ bin"システムディレクトリからファイルを感染させようとします。いずれの場合も、1回の実行で201件以上のファイルが感染することはありません。

このバージョンのウイルスで見つかったバックドアは、UDPポート3049で待機しています。または、それぞれのポートが利用できない場合、使用可能なポート番号が見つかるまでポート番号を増やそうとします。さまざまな内部コマンドを使用して、ターゲットシステム上でファイルを直接実行したり、スニッファを起動したりして、トラフィックを他のマシンに転送することができます。また、バックドアはファイアウォールルールリストを編集し、フックされたポート、またはスニファの場合にリモートマシンと通信するために使用されたポートで通信できないようなエントリをすべて消去しようとします。

上記に加えて、このウイルスは、自身のコピーを生成し、生成されたコピーから自身をデバッグすることによって、さまざまなデバッグユーティリティによるトレースを防止しようとします。デバッガが既に実行されている場合、これらの手順は失敗し、ウイルスはただちに実行を終了します。

もう1つの詳細は、システムの稼働時間が5分以下であれば、ウイルスは「テスト」マシンでの単純な検査を防ぐために実行を終了することもあります。


オリジナルへのリンク