親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Virus
ウィルスは、ローカルマシンのリソース上で複製します。ワームとは異なり、ウイルスはネットワークサービスを使用して他のコンピュータに伝播したり侵入したりしません。感染したオブジェクトが何らかの理由でウイルス機能に関係なく他のコンピュータで有効になっている場合にのみ、ウイルスのコピーがリモートコンピュータに届きます。たとえば、アクセス可能なディスクに感染すると、ウイルスはネットワークリソースにあるファイルに侵入し、ウイルスは自身をリムーバブルストレージデバイスにコピーしたり、リムーバブルデバイス上のファイルに感染させたりします。ユーザーは感染した添付ファイル付きの電子メールを送信します。プラットフォーム: Linux
Linuxは、LinuxカーネルとGNUツールをベースにしたUNIXベースのオペレーティングシステムファミリです。説明
Linux.OSF.8759は、バックドア機能の強化されたウイルスで、Linuxシステム上で複製し、ELF実行可能ファイルに感染します。
ウイルスに感染したファイルのファイルサイズは8759バイト増加します。 3979バイトは実際のウイルスコードに属し、他の4662バイトはファイルの最後にウイルスによって添付されたバックドアのコードに属します。
バックドアコードはウイルスとともにコピーされますが、更新されたバージョンに簡単に置き換えることができるように設計されているようです - バックドアはELF構造にリンクされていませんが、ウイルス自体によってロードされ実行されます。したがって、このウイルスの改良されたバージョン、特にバックドアコードの将来のバージョンが期待できます。
このウイルスは、現在のディレクトリ内のすべてのファイルに感染しますが、ファイル名が "ps"で終わるファイルは感染しません。
明確にするには: "steps"やUnixユーティリティツール "PS"などの名前を持つファイルは、感染の恐れがありません。ファイル名の最後の2文字は "P"と "S" 。
ルートアカウントから実行すると、ウイルスは "/ bin"システムディレクトリからファイルを感染させようとします。いずれの場合も、1回の実行で201件以上のファイルが感染することはありません。
このバージョンのウイルスで見つかったバックドアは、UDPポート3049で待機しています。または、それぞれのポートが利用できない場合、使用可能なポート番号が見つかるまでポート番号を増やそうとします。さまざまな内部コマンドを使用して、ターゲットシステム上でファイルを直接実行したり、スニッファを起動したりして、トラフィックを他のマシンに転送することができます。また、バックドアはファイアウォールルールリストを編集し、フックされたポート、またはスニファの場合にリモートマシンと通信するために使用されたポートで通信できないようなエントリをすべて消去しようとします。
上記に加えて、このウイルスは、自身のコピーを生成し、生成されたコピーから自身をデバッグすることによって、さまざまなデバッグユーティリティによるトレースを防止しようとします。デバッガが既に実行されている場合、これらの手順は失敗し、ウイルスはただちに実行を終了します。
もう1つの詳細は、システムの稼働時間が5分以下であれば、ウイルスは「テスト」マシンでの単純な検査を防ぐために実行を終了することもあります。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com