Linuxサーバーへの感染を広げるウイルス「Slapper」

　OpenSSLの利用が可能なApacheを使用したLinux Webサーバーに感染するウイルス「Slapper」が発見された。感染対象は、インテルベースのマシン上で、ApacheとOpenSSLが動作しているサーバー。OpenSSLのバージョンが0.96d以前のものとなっている。

脆弱性と脅威脅威動向

2002.9.17 Tue 12:00

　OpenSSLの利用が可能なApacheを使用したLinux Webサーバーに感染するウイルス「Slapper」が発見された。感染対象は、インテルベースのマシン上で、ApacheとOpenSSLが動作しているサーバー。OpenSSLのバージョンが0.96d以前のものとなっている。

　LinuxマシンがSlapperに感染すると、別のLinuxマシンに拡散するほか、ピア・ツー・ピア攻撃のコードが含まれているため、感染マシンはリモートからの指令によりDDoS(Distributed Denial of Service)攻撃を開始する。

　なお、感染の確認はシステム中で.bugtraq というプロセス名で確認が可能。感染システムからのウィルス駆除は、Slapper.Aのプロセスを停止しテンポラリ・ディレクトリに作成された以下のファイルを削除することで可能である。

/tmp/.uubugtraq
/tmp/.buqtraq.c
/tmp/.bugtraq

　また、防御方法としては、アパッチWEBサーバをシャットダウンし、再感染を防ぐためOpenSSLを0.9.6e以上の対策済みバージョンにアップグレードすることで、対処可能である。

　関係各所の対応状況は下記の通り

▼Linuxベンダ情報
　Linuxの各ベンダからの情報は以下の通り。

Debian
http://www.debian.org/security/2002/dsa-136
Mandrake
http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php
RedHat
http://rhn.redhat.com/errata/RHSA-2002-155.html
SuSE
http://www.suse.com/de/security/2002_027_openssl.html

▼日本エフ・セキュア
　9月14日以降の定義ファイルにて対応

ウイルス詳細：
http://www.f-secure.co.jp/v-descs/v-descs3/slapper.htm
パターンファイルダウンロードサイト：
http://www.F-Secure.com/download-purchase/updates.shtml

▼トレンドマイクロ
　パターンファイル349以降にて対応

ウイルス詳細：（現在は英語版のみ）
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_SLAPPER.A

▼日本ネットワークアソシエイツ
　4223以降のDATファイルにて対応

ウイルス詳細：（現在は英語版のみ）
http://vil.nai.com/vil/content/v_99693.htm

▼シマンテック
　9月16日付けの定義ファイルにて対応

ウイルス詳細：
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=37378
定義ファイルダウンロードサイト：
http://www.symantec.co.jp/region/jp/sarcj/download.html