ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か?

reoによる 2009年07月11日 13時00分の掲載
death's-day-is-doom's-day 部門より。
ワーム インターネット セキュリティ

ある Anonymous Coward 曰く、

韓国と米国への DDoS 攻撃につかわれている Mydoom ワームに感染した Windows システムは、金曜日 (7 月 10 日) から感染したシステムのデータを消去しはじめるのではないかとの話が報じられているそうだ (本家 /. 記事より) 。

ワシントンポストの Security Fix blogによるとこのマルウェアはウェブサーバからペイロードをダウンロードするよう設計されており、このペイロードにはハードドライブのデータを「memory of the independence day (独立記念日の記念に)」というメッセージとそれに続く「u」の文字で、接続されている物理ドライブ全てを上書きするというトロイの木馬が含まれているとのこと。

なお、同様の話は Channnel NewsAsia でも報じられている。

韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か? | ログイン/アカウントの作成 | 42 個のコメント | コメント検索
表示オプション しきい値:

  • タレコミ内の Security Fix 記事より、

    Stewart said he tested the self-destruct Trojan in his lab and found that it indeed erases the hard drive on the compromised system. For now, however, the Mydoom component isn't triggering that feature.

    "One possibility is there's a bug in the code and it's supposed to run but it doesn't," Stewart said. "Or, there may be a time factor involved, where it's not supposed to erase the hard drive until a certain time."

    ゴミデータで上書きして消去するトロイの木馬が見つかったが、今のところ Mydoom コンポーネントはその機能の引き金ではない、とのこと。

    Secureworks News 経由でCyberattacks Jam Government and Commercial Web Sites in U.S. and South Korea [nytimes.com]には

    As for possible origins, there were only hints. One researcher, Joe Stewart, of Secureworks’ Counter Threat Unit in Atlanta, said the attacking software contained the text string “get/China/DNS,” with DNS referring to China’s Internet routing system. He said that it appeared that the data generated by the attacking program was based on a Korean-language browser.

    ともある。

    --
    eComStation 2.0 Silver Release (RC7) http://ewiki.ecomstation.nl/ecomstation20rc7whatsnew
  • 米韓コンピュータシステムの破壊を純粋に目論む、そんなものを使いたがるのは誰か?
    またはそのように見せかけて得をするのは誰か?

  • /.Jも含め多くのニュースサイトで MyDoom 亜種が原因と報道されていますが、

    エフセキュアブログ : 米国および韓国WebサイトへのLyzapo DDoS 攻撃 [f-secure.jp](2009年07月09日05:05)

    この攻撃を、5年前に登場したMydoomワーム・ファミリーに結びつける情報筋もある。以下に、今回の件に関し、我々が知っていることをまとめると:この攻撃に関連するサンプルファイル群は、複数のアンチ・ウィルス・ラボで共有されている。それらのファイルの一つ(MD5: 93322e3614babd2f36131d604fb42905)は、実際、Mydoomの亜種だ。我々はそれがEmail- Worm.Win32.Mydoom.hwであることを確認している。しかし、現在DDoSの標的とされているサイトのいずれかを、このファイルが攻撃するという証拠を発見するには至っていない。

    エフセキュアブログ:サイバーテロってやっぱり恐い!? [f-secure.jp](2009年07月09日21:45)

    一部の検体は、Mydoomの亜種が含まれているなどの情報が流れていますが、その詳細は不明です。感染経路さえも推測の域を出ていません。

    検体においても、昨日の検体が入手出来たと思ったら、本日には別の検体が登場しています。

    当初報告のあったゾンビPCが特定のケーブルテレビ利用者であったことや、攻撃先が限定されているとの報告から、今回の攻撃の計画性の高さが伺えます。

    --
    eComStation 2.0 Silver Release (RC7) http://ewiki.ecomstation.nl/ecomstation20rc7whatsnew

    • Re: MyDoom 亜種 (スコア:3, 参考になる)

      Anonymous Coward : 2009年07月11日 23時03分 (#1603594)

      マルウェア4種が連携、拡散と攻撃を繰り返す [cnet.com]

      今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」の4つ(名称はシマンテックによるもの)が互いに連携して、拡散と攻撃を繰り返す。

       感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A@mm が入り込む。

       こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。 W32.Mydoom.A@mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。

       バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。

      • TCP53から「213.33.116.41」
      • TCP80から216.199.83.203」
      • TCP443から「213.23.243.210」

       トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。

      ところで、攻撃をさせている犯人についてロイターでは「韓国では北朝鮮を除外」としています。

      たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
      サイバー攻撃、北朝鮮は疑いリストから除外 [reuters.com]

      韓国の大手ウェブセキュリティ会社Ahnlabは、被害を受けてデータが破壊されるコンピューターは膨大な数にのぼる可能性があると指摘、「被害を受けたパソコンは起動できなくなり、保存されたファイルは使用不能になる」と述べた。

       KCCは、攻撃の主体として疑われるホスト・ウェブサイトの所在地として、ドイツ、オーストリア、米国、グルジア、韓国を挙げた。

      ロイターがバカなのかKCCがバカなのか…

  • Re:ウイルスなんてどうでもいいよ (スコア:3, すばらしい洞察)

    annoymouse coward (11178) : 2009年07月11日 22時41分 (#1603587) 日記

    ちゃんと対策できているかどうか、確認しないと意味がないでしょう。

    • Re:ウイルスなんてどうでもいいよ (スコア:2, すばらしい洞察)

      Anonymous Coward : 2009年07月12日 23時52分 (#1603803)

      ウイルス対策ソフトが動いている様子を見てニヤニヤするために決まってるだろうがっ!

      「今日はこんだけウイルス来て、こんだけ検出したんだぜ」とか、レアモンのウイルスを
      検出して友達と自慢し合ったり、互いにウイルスを送りつけ合ってバトルしたり。

      #Macではそういう楽しみ方が出来ないんだよ・・・むなしい。

    • 1個のコメント が現在のしきい値以下です。

  • とりあえず、JPCERT/CC の注意喚起 [jpcert.or.jp]。

    ウィルス対策ソフトで検出できるように書いてあります。

  • 参照する日付 (スコア:1)

    Sukoya (33993) : 2009年07月12日 14時24分 (#1603715) 日記

    流石に、ローカルの日付を参照する事は無いんじゃないかな……
    ネットワーク攻撃を行うためにネットワークに繋がってないなんてありえないだろうし

    • Re:参照する日付 (スコア:2, おもしろおかしい)

      genkikko (36404) : 2009年07月13日 0時51分 (#1603808) ホームページ 日記

      世の中には時計が10分ぐらい遅れてても平気な人とか、
      逆に遅刻しないためにあえて10分ぐらい進めてる人とか、
      キッチリキッチリ時計を合わせる人とか、いろいろいますもんねぇ。

      (ぴったりさん)「12時キッカリに突入だ!」
      (Mr.10分遅れ)「ラジャー!」
      (10分進むくん)「了解!」

      どえらいグダグダな未来が見え見えで目を覆いたくなります。

  • Re:今回の教訓は? (スコア:2, おもしろおかしい)

    elderwand (34630) : 2009年07月12日 17時20分 (#1603733) 日記

    > そろそろTCP/IPを見直すべき時期かも

    次のプロトコルは Telepathy 通信の実用化までお待ちください。

    #え? Content-Type: telepathy/love を登録して、TCP/IP に乗せようと思ってたのに?

  • Re:今回の教訓は? (スコア:2)

    ttm (8278) : 2009年07月12日 19時31分 (#1603758)

    泥棒の被害が甚大だということならば、
    泥棒の侵入を減らすための保安だけでなく、
    泥棒を減らすための社会資本の充実も、
    長期的には非常に重要でしょう。

  • Re:今回の教訓は? (スコア:2, 参考になる)

    upken (38225) : 2009年07月12日 20時11分 (#1603767)
    Windows XPで試してみた。
    そういう実装になっていますよ。
    試行 10000回

    sv 192.168.0.10:80
    ├ cl 192.168.0.11:56055
    ├ cl 192.168.0.12:56055

    この話題だと思っていますが・・・

    • Re:今回の教訓は? (スコア:3, 参考になる)

      Anonymous Coward : 2009年07月12日 22時16分 (#1603793)

      おそらくサーバ側のポートの話でしょう。

      ネットでは、次のような間違った解説をよく見かけます。

      クライアントから同時に多数の接続を受けるサーバでは同時接続数がボトルネックになるので、それを増やすチューニングが必要になることがあります。具体的には(クライアントとして動くときの)ポートの範囲(特権ポートを除外するための設定)を、どこそこのパラメータを変えることで広げます。

      あるいは

      TCPコネクションが張られるとポート番号が1つ消費されてしまうが、しかしポートは番号65535個しかないので、数万個のTCPコネクションが張られるようなサイトを作るときには、サーバの分散化を検討しなければならない。

      そういうTips集には本人が効果を試さずに書いているものが多々ありまして、LinuxでもWindowsでも、気休めでしかないものばかりです。

      真実は、サーバ側のポート番号は常に1つです。たった1つのポートで、すべてのクライアントと通信できるのです。
      ただ、64K個のTCPコネクションを張るとなると、それだけでも相当なメモリ消費ですよ。
      SNDBUFとRCVBUFがそれぞれ64KBずつとしても、バッファだけで8GBにもなりますから。

    • Re:今回の教訓は? by upken (スコア:1) 2009年07月12日 20時52分
    • 1個のコメント が現在のしきい値以下です。

  • Re:今回の教訓は? (スコア:1, すばらしい洞察)

    Anonymous Coward : 2009年07月13日 8時27分 (#1603841)
    そうですよね。
    権限も無いのにWebDav経由で書き込みできちゃって
    何度も修正が入るようなWebサーバは禁止すべきですよね

    # ゼロデイが発生するのはDDoSに限ったことじゃないでしょ?
  • 5個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。