Linuxサーバーへの感染を広げるウイルス「Slapper」
OpenSSLの利用が可能なApacheを使用したLinux Webサーバーに感染するウイルス「Slapper」が発見された。感染対象は、インテルベースのマシン上で、ApacheとOpenSSLが動作しているサーバー。OpenSSLのバージョンが0.96d以前のものとなっている。
脆弱性と脅威
脅威動向
LinuxマシンがSlapperに感染すると、別のLinuxマシンに拡散するほか、ピア・ツー・ピア攻撃のコードが含まれているため、感染マシンはリモートからの指令によりDDoS(Distributed Denial of Service)攻撃を開始する。
なお、感染の確認はシステム中で.bugtraq というプロセス名で確認が可能。 感染シ ステムからのウィルス駆除は、Slapper.Aのプロセスを停止しテンポラリ・ディレクト リに作成された以下のファイルを削除することで可能である。
/tmp/.uubugtraq
/tmp/.buqtraq.c
/tmp/.bugtraq
また、防御方法としては、アパッチWEBサーバをシャットダウンし、再感染を防ぐためOpenSSLを0.9.6e以上の対策済みバージョンにアップグレードすることで、対処可能である。
関係各所の対応状況は下記の通り
▼Linuxベンダ情報
Linuxの各ベンダからの情報は以下の通り。
Debian
http://www.debian.org/security/2002/dsa-136
Mandrake
http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php
RedHat
http://rhn.redhat.com/errata/RHSA-2002-155.html
SuSE
http://www.suse.com/de/security/2002_027_openssl.html
▼日本エフ・セキュア
9月14日以降の定義ファイルにて対応
ウイルス詳細:
http://www.f-secure.co.jp/v-descs/v-descs3/slapper.htm
パターンファイルダウンロードサイト:
http://www.F-Secure.com/download-purchase/updates.shtml
▼トレンドマイクロ
パターンファイル349以降にて対応
ウイルス詳細:(現在は英語版のみ)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_SLAPPER.A
▼日本ネットワークアソシエイツ
4223以降のDATファイルにて対応
ウイルス詳細:(現在は英語版のみ)
http://vil.nai.com/vil/content/v_99693.htm
▼シマンテック
9月16日付けの定義ファイルにて対応
ウイルス詳細:
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=37378
定義ファイルダウンロードサイト:
http://www.symantec.co.jp/region/jp/sarcj/download.html
《ScanNetSecurity》