パスワードを忘れた? アカウント作成
119077 story
インターネット

韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か? 42

ストーリー by reo
death's-day-is-doom's-day 部門より

ある Anonymous Coward 曰く、

韓国と米国への DDoS 攻撃につかわれている Mydoom ワームに感染した Windows システムは、金曜日 (7 月 10 日) から感染したシステムのデータを消去しはじめるのではないかとの話が報じられているそうだ (本家 /. 記事より) 。

ワシントンポストの Security Fix blogによるとこのマルウェアはウェブサーバからペイロードをダウンロードするよう設計されており、このペイロードにはハードドライブのデータを「memory of the independence day (独立記念日の記念に)」というメッセージとそれに続く「u」の文字で、接続されている物理ドライブ全てを上書きするというトロイの木馬が含まれているとのこと。

なお、同様の話は Channnel NewsAsia でも報じられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by masakun (31656) on 2009年07月11日 15時04分 (#1603460) 日記

    タレコミ内の Security Fix 記事より、

    Stewart said he tested the self-destruct Trojan in his lab and found that it indeed erases the hard drive on the compromised system. For now, however, the Mydoom component isn't triggering that feature.

    "One possibility is there's a bug in the code and it's supposed to run but it doesn't," Stewart said. "Or, there may be a time factor involved, where it's not supposed to erase the hard drive until a certain time."

    ゴミデータで上書きして消去するトロイの木馬が見つかったが、今のところ Mydoom コンポーネントはその機能の引き金ではない、とのこと。

    Secureworks News 経由でCyberattacks Jam Government and Commercial Web Sites in U.S. and South Korea [nytimes.com]には

    As for possible origins, there were only hints. One researcher, Joe Stewart, of Secureworks’ Counter Threat Unit in Atlanta, said the attacking software contained the text string “get/China/DNS,” with DNS referring to China’s Internet routing system. He said that it appeared that the data generated by the attacking program was based on a Korean-language browser.

    ともある。

    --
    モデレータは基本役立たずなの気にしてないよ
  • 米韓コンピュータシステムの破壊を純粋に目論む、そんなものを使いたがるのは誰か?
    またはそのように見せかけて得をするのは誰か?
  • by Anonymous Coward on 2009年07月11日 14時48分 (#1603455)

    再インストールしか手がなかったりしてw

    • /.Jも含め多くのニュースサイトで MyDoom 亜種が原因と報道されていますが、

      エフセキュアブログ : 米国および韓国WebサイトへのLyzapo DDoS 攻撃 [f-secure.jp](2009年07月09日05:05)

      この攻撃を、5年前に登場したMydoomワーム・ファミリーに結びつける情報筋もある。以下に、今回の件に関し、我々が知っていることをまとめると:この攻撃に関連するサンプルファイル群は、複数のアンチ・ウィルス・ラボで共有されている。それらのファイルの一つ(MD5: 93322e3614babd2f36131d604fb42905)は、実際、Mydoomの亜種だ。我々はそれがEmail- Worm.Win32.Mydoom.hwであることを確認している。しかし、現在DDoSの標的とされているサイトのいずれかを、このファイルが攻撃するという証拠を発見するには至っていない。

      エフセキュアブログ:サイバーテロってやっぱり恐い!? [f-secure.jp](2009年07月09日21:45)

      一部の検体は、Mydoomの亜種が含まれているなどの情報が流れていますが、その詳細は不明です。感染経路さえも推測の域を出ていません。

      検体においても、昨日の検体が入手出来たと思ったら、本日には別の検体が登場しています。

      当初報告のあったゾンビPCが特定のケーブルテレビ利用者であったことや、攻撃先が限定されているとの報告から、今回の攻撃の計画性の高さが伺えます。

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
      • Re: MyDoom 亜種 (スコア:3, 参考になる)

        by Anonymous Coward on 2009年07月11日 23時03分 (#1603594)

        マルウェア4種が連携、拡散と攻撃を繰り返す [cnet.com]

        今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」の4つ(名称はシマンテックによるもの)が互いに連携して、拡散と攻撃を繰り返す。

         感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A@mm が入り込む。

         こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。 W32.Mydoom.A@mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。

         バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。

        • TCP53から「213.33.116.41」
        • TCP80から216.199.83.203」
        • TCP443から「213.23.243.210」

         トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。

        ところで、攻撃をさせている犯人についてロイターでは「韓国では北朝鮮を除外」としています。

        たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
        サイバー攻撃、北朝鮮は疑いリストから除外 [reuters.com]

        韓国の大手ウェブセキュリティ会社Ahnlabは、被害を受けてデータが破壊されるコンピューターは膨大な数にのぼる可能性があると指摘、「被害を受けたパソコンは起動できなくなり、保存されたファイルは使用不能になる」と述べた。

         KCCは、攻撃の主体として疑われるホスト・ウェブサイトの所在地として、ドイツ、オーストリア、米国、グルジア、韓国を挙げた。

        ロイターがバカなのかKCCがバカなのか…

        親コメント
        • by Anonymous Coward

          > たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
           :
          > ロイターがバカなのかKCCがバカなのか…

          いやいや、一番ありそうなパターンが抜け落ちてますよ。
          つ [犯人がバカ]

    • とりあえず、JPCERT/CC の注意喚起 [jpcert.or.jp]。

      ウィルス対策ソフトで検出できるように書いてあります。

      親コメント
    • by Sukoya (33993) on 2009年07月12日 14時24分 (#1603715) 日記

      流石に、ローカルの日付を参照する事は無いんじゃないかな……
      ネットワーク攻撃を行うためにネットワークに繋がってないなんてありえないだろうし

      親コメント
      • Re:参照する日付 (スコア:2, おもしろおかしい)

        by genkikko (36404) on 2009年07月13日 0時51分 (#1603808) ホームページ 日記

        世の中には時計が10分ぐらい遅れてても平気な人とか、
        逆に遅刻しないためにあえて10分ぐらい進めてる人とか、
        キッチリキッチリ時計を合わせる人とか、いろいろいますもんねぇ。

        (ぴったりさん)「12時キッカリに突入だ!」
        (Mr.10分遅れ)「ラジャー!」
        (10分進むくん)「了解!」

        どえらいグダグダな未来が見え見えで目を覆いたくなります。

        親コメント
        • by Anonymous Coward

          つまり光画部時間最強、ってことですね(違

  • by Anonymous Coward on 2009年07月11日 21時29分 (#1603571)

    7/10以降はこの問題に悩むことがないのでしょう。
    バックドアを放置されるよりよほどマシ。

  • by Anonymous Coward on 2009年07月11日 22時02分 (#1603581)
    ちゃんと対策してればいちいち1つ1つのウイルスがどうなるかなんて、気にしなくていいんじゃない?
    • by annoymouse coward (11178) on 2009年07月11日 22時41分 (#1603587) 日記

      ちゃんと対策できているかどうか、確認しないと意味がないでしょう。

      親コメント
    • Re: (スコア:0, オフトピック)

      ほんとほんと、 W32/MyDoom [ipa.go.jp]の変種ったって、しょせんWindowsプログラムだしね。eComStation [ecomstation.com]上ではワームやトロイのニュースなんか気にしたことないな(w

      メールで届く怪しいバイナリや圧縮ファイルは削除する前にVirustotal [virustotal.com]でチェックしているけれど、これがまた検出率100%にならないのがおもしろくて、しばらく日記(Virustotal サイトを見つけたので [srad.jp]、その [srad.jp]

      --
      モデレータは基本役立たずなの気にしてないよ
  • by Anonymous Coward on 2009年07月12日 12時44分 (#1603705)
    今回の件の教訓は何でしょう。

    そろそろTCP/IPを見直すべき時期かもしれません。
    1つのIPアドレスで64k個のTCPコネクションしか張れないのは、スケーラブルではないと思います。

    あとは、低速&リソース食いのApacheなどを使用禁止とすべきでしょう。
    • Re:今回の教訓は? (スコア:2, おもしろおかしい)

      by elderwand (34630) on 2009年07月12日 17時20分 (#1603733) 日記

      > そろそろTCP/IPを見直すべき時期かも

      次のプロトコルは Telepathy 通信の実用化までお待ちください。

      #え? Content-Type: telepathy/love を登録して、TCP/IP に乗せようと思ってたのに?

      親コメント
    • by Anonymous Coward

      > 1つのIPアドレスで64k個のTCPコネクションしか張れないのは、スケーラブルではないと思います。

      何を言っているんだ?
      listenしているIPアドレスとポート番号が1つに定まっていたとしても、
      connectするホスト毎に16bit分コネクションを張れるぞ。

      • by Anonymous Coward
        そういう実装になっているOSあります?
        私の知るかぎり、IPアドレスによらずにポートがuniqueに割り当てられます。
        • Re:今回の教訓は? (スコア:2, 参考になる)

          by upken (38225) on 2009年07月12日 20時11分 (#1603767)
          Windows XPで試してみた。
          そういう実装になっていますよ。
          試行 10000回

          sv 192.168.0.10:80
          ├ cl 192.168.0.11:56055
          ├ cl 192.168.0.12:56055

          この話題だと思っていますが・・・
          親コメント
          • Re:今回の教訓は? (スコア:3, 参考になる)

            by Anonymous Coward on 2009年07月12日 22時16分 (#1603793)

            おそらくサーバ側のポートの話でしょう。

            ネットでは、次のような間違った解説をよく見かけます。

            クライアントから同時に多数の接続を受けるサーバでは同時接続数がボトルネックになるので、それを増やすチューニングが必要になることがあります。具体的には(クライアントとして動くときの)ポートの範囲(特権ポートを除外するための設定)を、どこそこのパラメータを変えることで広げます。

            あるいは

            TCPコネクションが張られるとポート番号が1つ消費されてしまうが、しかしポートは番号65535個しかないので、数万個のTCPコネクションが張られるようなサイトを作るときには、サーバの分散化を検討しなければならない。

            そういうTips集には本人が効果を試さずに書いているものが多々ありまして、LinuxでもWindowsでも、気休めでしかないものばかりです。

            真実は、サーバ側のポート番号は常に1つです。たった1つのポートで、すべてのクライアントと通信できるのです。
            ただ、64K個のTCPコネクションを張るとなると、それだけでも相当なメモリ消費ですよ。
            SNDBUFとRCVBUFがそれぞれ64KBずつとしても、バッファだけで8GBにもなりますから。

            親コメント
          • by Anonymous Coward
            Windowsは反則だよ。ロバストでスケーラブルで、それでいて高速な実装してるから。
        • by Anonymous Coward

          accept()のよこすソケットを、getsockname()してみれば、
          それらが全部、おなじポート番号を共有していることは、すぐにわかるのですが、
          そんなこともしたことのないやつが、TCP/IPのなにを、みなおそうというのでしょうか。
          わらえない、ジョークですね。

    • by Anonymous Coward
      Windowsがウィルスに感染したという話ですよ。使用禁止にするならセキュリティパッチを当ててないWindows。
      • by Anonymous Coward
        それは性善説ですよ。
        どうしてもパッチ漏れは出るしゼロデイもあるので、ある程度のDDoS攻撃をするノードが世界に存在するものとして対処しなければなりません。
        すなわち、たった数万ノードからのDDoS攻撃で潰れるようなアーキテクチャを改善すべきなのです。
        • by ttm (8278) on 2009年07月12日 19時31分 (#1603758)

          泥棒の被害が甚大だということならば、
          泥棒の侵入を減らすための保安だけでなく、
          泥棒を減らすための社会資本の充実も、
          長期的には非常に重要でしょう。

          親コメント
        • Re:今回の教訓は? (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2009年07月13日 8時27分 (#1603841)
          そうですよね。
          権限も無いのにWebDav経由で書き込みできちゃって
          何度も修正が入るようなWebサーバは禁止すべきですよね

          # ゼロデイが発生するのはDDoSに限ったことじゃないでしょ?
          親コメント
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...