韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か? 42
ストーリー by reo
death's-day-is-doom's-day 部門より
death's-day-is-doom's-day 部門より
ある Anonymous Coward 曰く、
韓国と米国への DDoS 攻撃につかわれている Mydoom ワームに感染した Windows システムは、金曜日 (7 月 10 日) から感染したシステムのデータを消去しはじめるのではないかとの話が報じられているそうだ (本家 /. 記事より) 。
ワシントンポストの Security Fix blogによるとこのマルウェアはウェブサーバからペイロードをダウンロードするよう設計されており、このペイロードにはハードドライブのデータを「memory of the independence day (独立記念日の記念に)」というメッセージとそれに続く「u」の文字で、接続されている物理ドライブ全てを上書きするというトロイの木馬が含まれているとのこと。
なお、同様の話は Channnel NewsAsia でも報じられている。
報告者のJoe Stewart(SecureWorks)曰く (スコア:5, 参考になる)
タレコミ内の Security Fix 記事より、
ゴミデータで上書きして消去するトロイの木馬が見つかったが、今のところ Mydoom コンポーネントはその機能の引き金ではない、とのこと。
Secureworks News 経由でCyberattacks Jam Government and Commercial Web Sites in U.S. and South Korea [nytimes.com]には
ともある。
モデレータは基本役立たずなの気にしてないよ
金儲けでも、技術誇示でもないウィルス (スコア:2)
またはそのように見せかけて得をするのは誰か?
Re:金儲けでも、技術誇示でもないウィルス (スコア:1)
notice : I ignore an anonymous contribution.
Re: (スコア:0)
陰謀を語るには雑魚キャラ過ぎるんだがw
Re:金儲けでも、技術誇示でもないウィルス (スコア:1, オフトピック)
「↓のような人物」とか言われてもなぁ。
感染診断および駆除方法の情報求む (スコア:0)
再インストールしか手がなかったりしてw
今のところ感染経路すら分かっていないから (スコア:5, 参考になる)
/.Jも含め多くのニュースサイトで MyDoom 亜種が原因と報道されていますが、
エフセキュアブログ : 米国および韓国WebサイトへのLyzapo DDoS 攻撃 [f-secure.jp](2009年07月09日05:05)
エフセキュアブログ:サイバーテロってやっぱり恐い!? [f-secure.jp](2009年07月09日21:45)
モデレータは基本役立たずなの気にしてないよ
Re: MyDoom 亜種 (スコア:3, 参考になる)
マルウェア4種が連携、拡散と攻撃を繰り返す [cnet.com]
ところで、攻撃をさせている犯人についてロイターでは「韓国では北朝鮮を除外」としています。
たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
サイバー攻撃、北朝鮮は疑いリストから除外 [reuters.com]
ロイターがバカなのかKCCがバカなのか…
Re: (スコア:0)
> たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
:
> ロイターがバカなのかKCCがバカなのか…
いやいや、一番ありそうなパターンが抜け落ちてますよ。
つ [犯人がバカ]
Re: MyDoom 亜種 (スコア:1)
もうひとつ抜けてますよ。
つ 「馬鹿と言った奴が馬鹿」
Re:感染診断および駆除方法の情報求む (スコア:3, 参考になる)
とりあえず、JPCERT/CC の注意喚起 [jpcert.or.jp]。
ウィルス対策ソフトで検出できるように書いてあります。
本当に消えるかどうか、日付を未来にしてみればいいんじゃない? (スコア:0)
参照する日付 (スコア:1)
流石に、ローカルの日付を参照する事は無いんじゃないかな……
ネットワーク攻撃を行うためにネットワークに繋がってないなんてありえないだろうし
Re:参照する日付 (スコア:2, おもしろおかしい)
世の中には時計が10分ぐらい遅れてても平気な人とか、
逆に遅刻しないためにあえて10分ぐらい進めてる人とか、
キッチリキッチリ時計を合わせる人とか、いろいろいますもんねぇ。
(ぴったりさん)「12時キッカリに突入だ!」
(Mr.10分遅れ)「ラジャー!」
(10分進むくん)「了解!」
どえらいグダグダな未来が見え見えで目を覆いたくなります。
Re: (スコア:0)
つまり光画部時間最強、ってことですね(違
良心的ではないですか (スコア:0)
7/10以降はこの問題に悩むことがないのでしょう。
バックドアを放置されるよりよほどマシ。
ウイルスなんてどうでもいいよ (スコア:0)
Re:ウイルスなんてどうでもいいよ (スコア:3, すばらしい洞察)
ちゃんと対策できているかどうか、確認しないと意味がないでしょう。
Re:ウイルスなんてどうでもいいよ (スコア:2, すばらしい洞察)
ウイルス対策ソフトが動いている様子を見てニヤニヤするために決まってるだろうがっ!
「今日はこんだけウイルス来て、こんだけ検出したんだぜ」とか、レアモンのウイルスを
検出して友達と自慢し合ったり、互いにウイルスを送りつけ合ってバトルしたり。
#Macではそういう楽しみ方が出来ないんだよ・・・むなしい。
Re: (スコア:0)
Re: (スコア:0, オフトピック)
ほんとほんと、 W32/MyDoom [ipa.go.jp]の変種ったって、しょせんWindowsプログラムだしね。eComStation [ecomstation.com]上ではワームやトロイのニュースなんか気にしたことないな(w
メールで届く怪しいバイナリや圧縮ファイルは削除する前にVirustotal [virustotal.com]でチェックしているけれど、これがまた検出率100%にならないのがおもしろくて、しばらく日記(Virustotal サイトを見つけたので [srad.jp]、その [srad.jp]
モデレータは基本役立たずなの気にしてないよ
今回の教訓は? (スコア:0)
そろそろTCP/IPを見直すべき時期かもしれません。
1つのIPアドレスで64k個のTCPコネクションしか張れないのは、スケーラブルではないと思います。
あとは、低速&リソース食いのApacheなどを使用禁止とすべきでしょう。
Re:今回の教訓は? (スコア:2, おもしろおかしい)
> そろそろTCP/IPを見直すべき時期かも
次のプロトコルは Telepathy 通信の実用化までお待ちください。
#え? Content-Type: telepathy/love を登録して、TCP/IP に乗せようと思ってたのに?
Re: (スコア:0)
TCP/IP over telepathyだろ
レイヤ的に考えて
Re:今回の教訓は? (スコア:4, おもしろおかしい)
telepathyを使う場合、物理層じゃなくて精神層ですね、わかります。
Re: (スコア:0)
> 1つのIPアドレスで64k個のTCPコネクションしか張れないのは、スケーラブルではないと思います。
何を言っているんだ?
listenしているIPアドレスとポート番号が1つに定まっていたとしても、
connectするホスト毎に16bit分コネクションを張れるぞ。
Re: (スコア:0)
私の知るかぎり、IPアドレスによらずにポートがuniqueに割り当てられます。
Re:今回の教訓は? (スコア:2, 参考になる)
そういう実装になっていますよ。
試行 10000回
sv 192.168.0.10:80
├ cl 192.168.0.11:56055
├ cl 192.168.0.12:56055
この話題だと思っていますが・・・
Re:今回の教訓は? (スコア:3, 参考になる)
おそらくサーバ側のポートの話でしょう。
ネットでは、次のような間違った解説をよく見かけます。
あるいは
そういうTips集には本人が効果を試さずに書いているものが多々ありまして、LinuxでもWindowsでも、気休めでしかないものばかりです。
真実は、サーバ側のポート番号は常に1つです。たった1つのポートで、すべてのクライアントと通信できるのです。
ただ、64K個のTCPコネクションを張るとなると、それだけでも相当なメモリ消費ですよ。
SNDBUFとRCVBUFがそれぞれ64KBずつとしても、バッファだけで8GBにもなりますから。
Re: (スコア:0)
Re:今回の教訓は? (スコア:1)
意味わかんね。
同じ条件ならLinuxでも同様の結果になるはずです。
Re: (スコア:0)
accept()のよこすソケットを、getsockname()してみれば、
それらが全部、おなじポート番号を共有していることは、すぐにわかるのですが、
そんなこともしたことのないやつが、TCP/IPのなにを、みなおそうというのでしょうか。
わらえない、ジョークですね。
Re: (スコア:0)
Re: (スコア:0)
どうしてもパッチ漏れは出るしゼロデイもあるので、ある程度のDDoS攻撃をするノードが世界に存在するものとして対処しなければなりません。
すなわち、たった数万ノードからのDDoS攻撃で潰れるようなアーキテクチャを改善すべきなのです。
Re:今回の教訓は? (スコア:2)
泥棒の被害が甚大だということならば、
泥棒の侵入を減らすための保安だけでなく、
泥棒を減らすための社会資本の充実も、
長期的には非常に重要でしょう。
Re:今回の教訓は? (スコア:1, すばらしい洞察)
権限も無いのにWebDav経由で書き込みできちゃって
何度も修正が入るようなWebサーバは禁止すべきですよね
# ゼロデイが発生するのはDDoSに限ったことじゃないでしょ?