韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か？

韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か？ 42

ストーリー by reo 2009年07月11日 13時00分
death's-day-is-doom's-day 部門より

ある Anonymous Coward 曰く、

韓国と米国への DDoS 攻撃につかわれている Mydoom ワームに感染した Windows システムは、金曜日 (7 月 10 日) から感染したシステムのデータを消去しはじめるのではないかとの話が報じられているそうだ (本家 /. 記事より) 。
ワシントンポストの Security Fix blogによるとこのマルウェアはウェブサーバからペイロードをダウンロードするよう設計されており、このペイロードにはハードドライブのデータを「memory of the independence day (独立記念日の記念に)」というメッセージとそれに続く「u」の文字で、接続されている物理ドライブ全てを上書きするというトロイの木馬が含まれているとのこと。
なお、同様の話は Channnel NewsAsia でも報じられている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索42コメント Log In/Create an Account

報告者のJoe Stewart(SecureWorks)曰く (スコア:5, 参考になる)

by masakun (31656) on 2009年07月11日 15時04分 (#1603460) 日記

タレコミ内の Security Fix 記事より、
Stewart said he tested the self-destruct Trojan in his lab and found that it indeed erases the hard drive on the compromised system. For now, however, the Mydoom component isn't triggering that feature.
"One possibility is there's a bug in the code and it's supposed to run but it doesn't," Stewart said. "Or, there may be a time factor involved, where it's not supposed to erase the hard drive until a certain time."
ゴミデータで上書きして消去するトロイの木馬が見つかったが、今のところ Mydoom コンポーネントはその機能の引き金ではない、とのこと。
Secureworks News 経由でCyberattacks Jam Government and Commercial Web Sites in U.S. and South Korea [nytimes.com]には
As for possible origins, there were only hints. One researcher, Joe Stewart, of Secureworks’ Counter Threat Unit in Atlanta, said the attacking software contained the text string “get/China/DNS,” with DNS referring to China’s Internet routing system. He said that it appeared that the data generated by the attacking program was based on a Korean-language browser.
ともある。

--
モデレータは基本役立たずなの気にしてないよ
金儲けでも、技術誇示でもないウィルス (スコア:2)

by magjp (33370) on 2009年07月12日 7時02分 (#1603658)

米韓コンピュータシステムの破壊を純粋に目論む、そんなものを使いたがるのは誰か？
またはそのように見せかけて得をするのは誰か？
- Re:金儲けでも、技術誇示でもないウィルス (スコア:1)
  
  by Dobon (7495) on 2009年07月12日 12時38分 (#1603704) 日記
  
  単なる愉快犯でしょ。
  
  --
  notice : I ignore an anonymous contribution.
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  アメリカはともかく韓国はなぁ。
  陰謀を語るには雑魚キャラ過ぎるんだがw
  - - Re:金儲けでも、技術誇示でもないウィルス (スコア:1, オフトピック)
      
      by 127.0.0.1 (33105) on 2009年07月12日 21時13分 (#1603780) 日記
      
      鈴木宗男自身のことが何も書いてないページを出して
      「↓のような人物」とか言われてもなぁ。
      
      シェア
      
      親コメント
感染診断および駆除方法の情報求む (スコア:0)

by Anonymous Coward on 2009年07月11日 14時48分 (#1603455)

再インストールしか手がなかったりしてw
- 今のところ感染経路すら分かっていないから (スコア:5, 参考になる)
  
  by masakun (31656) on 2009年07月11日 15時18分 (#1603465) 日記
  
  /.Jも含め多くのニュースサイトで MyDoom 亜種が原因と報道されていますが、
  エフセキュアブログ : 米国および韓国WebサイトへのLyzapo DDoS 攻撃 [f-secure.jp](2009年07月09日05:05)
  この攻撃を、5年前に登場したMydoomワーム・ファミリーに結びつける情報筋もある。以下に、今回の件に関し、我々が知っていることをまとめると：この攻撃に関連するサンプルファイル群は、複数のアンチ・ウィルス・ラボで共有されている。それらのファイルの一つ（MD5: 93322e3614babd2f36131d604fb42905）は、実際、Mydoomの亜種だ。我々はそれがEmail- Worm.Win32.Mydoom.hwであることを確認している。しかし、現在DDoSの標的とされているサイトのいずれかを、このファイルが攻撃するという証拠を発見するには至っていない。
  エフセキュアブログ：サイバーテロってやっぱり恐い！？ [f-secure.jp](2009年07月09日21:45)
  一部の検体は、Mydoomの亜種が含まれているなどの情報が流れていますが、その詳細は不明です。感染経路さえも推測の域を出ていません。
  検体においても、昨日の検体が入手出来たと思ったら、本日には別の検体が登場しています。
  当初報告のあったゾンビPCが特定のケーブルテレビ利用者であったことや、攻撃先が限定されているとの報告から、今回の攻撃の計画性の高さが伺えます。
  
  --
  モデレータは基本役立たずなの気にしてないよ
  
  シェア
  
  親コメント
  - Re: MyDoom 亜種 (スコア:3, 参考になる)
    
    by Anonymous Coward on 2009年07月11日 23時03分 (#1603594)
    マルウェア4種が連携、拡散と攻撃を繰り返す [cnet.com]
    今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A＠mm」「W32.Mytob!gen」の4つ（名称はシマンテックによるもの）が互いに連携して、拡散と攻撃を繰り返す。
    　感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A＠mm が入り込む。
    　こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。 W32.Mydoom.A＠mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。
    　バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。
    
    TCP53から「213.33.116.41」
    TCP80から216.199.83.203」
    TCP443から「213.23.243.210」
    　トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。
    
    ところで、攻撃をさせている犯人についてロイターでは「韓国では北朝鮮を除外」としています。
    たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
    サイバー攻撃、北朝鮮は疑いリストから除外 [reuters.com]
    韓国の大手ウェブセキュリティ会社Ahnlabは、被害を受けてデータが破壊されるコンピューターは膨大な数にのぼる可能性があると指摘、「被害を受けたパソコンは起動できなくなり、保存されたファイルは使用不能になる」と述べた。
    　ＫＣＣは、攻撃の主体として疑われるホスト・ウェブサイトの所在地として、ドイツ、オーストリア、米国、グルジア、韓国を挙げた。
    ロイターがバカなのかKCCがバカなのか…
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      > たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
      　：
      > ロイターがバカなのかKCCがバカなのか…
      いやいや、一番ありそうなパターンが抜け落ちてますよ。
      つ [犯人がバカ]
      - Re: MyDoom 亜種 (スコア:1)
        
        by nekopon (1483) on 2009年07月13日 13時14分 (#1603934) 日記
        
        もうひとつ抜けてますよ。
        つ「馬鹿と言った奴が馬鹿」
        
        シェア
        
        親コメント
- Re:感染診断および駆除方法の情報求む (スコア:3, 参考になる)
  
  by elderwand (34630) on 2009年07月12日 9時08分 (#1603673) 日記
  
  とりあえず、JPCERT/CC の注意喚起 [jpcert.or.jp]。
  ウィルス対策ソフトで検出できるように書いてあります。
  
  シェア
  
  親コメント
本当に消えるかどうか、日付を未来にしてみればいいんじゃない？ (スコア:0)

by Anonymous Coward on 2009年07月11日 20時43分 (#1603556)

T/O
- 参照する日付 (スコア:1)
  
  by Sukoya (33993) on 2009年07月12日 14時24分 (#1603715) 日記
  
  流石に、ローカルの日付を参照する事は無いんじゃないかな……
  ネットワーク攻撃を行うためにネットワークに繋がってないなんてありえないだろうし
  
  シェア
  
  親コメント
  - Re:参照する日付 (スコア:2, おもしろおかしい)
    
    by genkikko (36404) on 2009年07月13日 0時51分 (#1603808) ホームページ日記
    
    世の中には時計が10分ぐらい遅れてても平気な人とか、
    逆に遅刻しないためにあえて10分ぐらい進めてる人とか、
    キッチリキッチリ時計を合わせる人とか、いろいろいますもんねぇ。
    (ぴったりさん)「12時キッカリに突入だ！」
    (Mr.10分遅れ）「ラジャー！」
    (10分進むくん）「了解！」
    どえらいグダグダな未来が見え見えで目を覆いたくなります。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      つまり光画部時間最強、ってことですね（違
良心的ではないですか (スコア:0)

by Anonymous Coward on 2009年07月11日 21時29分 (#1603571)

７／１０以降はこの問題に悩むことがないのでしょう。
バックドアを放置されるよりよほどマシ。
ウイルスなんてどうでもいいよ (スコア:0)

by Anonymous Coward on 2009年07月11日 22時02分 (#1603581)

ちゃんと対策してればいちいち1つ1つのウイルスがどうなるかなんて、気にしなくていいんじゃない?
- Re:ウイルスなんてどうでもいいよ (スコア:3, すばらしい洞察)
  
  by annoymouse coward (11178) on 2009年07月11日 22時41分 (#1603587) 日記
  
  ちゃんと対策できているかどうか、確認しないと意味がないでしょう。
  
  シェア
  
  親コメント
  - - Re:ウイルスなんてどうでもいいよ (スコア:2, すばらしい洞察)
      
      by Anonymous Coward on 2009年07月12日 23時52分 (#1603803)
      
      ウイルス対策ソフトが動いている様子を見てニヤニヤするために決まってるだろうがっ！
      「今日はこんだけウイルス来て、こんだけ検出したんだぜ」とか、レアモンのウイルスを
      検出して友達と自慢し合ったり、互いにウイルスを送りつけ合ってバトルしたり。
      ＃Macではそういう楽しみ方が出来ないんだよ・・・むなしい。
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ウイルス対策ソフトを作ってる会社が成立するためにソフトを入れて、金を払ってる。
- Re: (スコア:0, オフトピック)
  
  by masakun (31656)
  
  ほんとほんと、 W32/MyDoom [ipa.go.jp]の変種ったって、しょせんWindowsプログラムだしね。eComStation [ecomstation.com]上ではワームやトロイのニュースなんか気にしたことないな(w
  メールで届く怪しいバイナリや圧縮ファイルは削除する前にVirustotal [virustotal.com]でチェックしているけれど、これがまた検出率100%にならないのがおもしろくて、しばらく日記（Virustotal サイトを見つけたので [srad.jp]、その [srad.jp]
  
  --
  モデレータは基本役立たずなの気にしてないよ
今回の教訓は? (スコア:0)

by Anonymous Coward on 2009年07月12日 12時44分 (#1603705)

今回の件の教訓は何でしょう。

そろそろTCP/IPを見直すべき時期かもしれません。
1つのIPアドレスで64k個のTCPコネクションしか張れないのは、スケーラブルではないと思います。

あとは、低速&リソース食いのApacheなどを使用禁止とすべきでしょう。
- Re:今回の教訓は? (スコア:2, おもしろおかしい)
  
  by elderwand (34630) on 2009年07月12日 17時20分 (#1603733) 日記
  
  > そろそろTCP/IPを見直すべき時期かも
  次のプロトコルは Telepathy 通信の実用化までお待ちください。
  ＃え？ Content-Type: telepathy/love を登録して、TCP/IP に乗せようと思ってたのに？
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    TCP/IP over telepathyだろ
    レイヤ的に考えて
    - Re:今回の教訓は? (スコア:4, おもしろおかしい)
      
      by ttm (8278) on 2009年07月12日 19時25分 (#1603754)
      
      telepathyを使う場合、物理層じゃなくて精神層ですね、わかります。
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  > 1つのIPアドレスで64k個のTCPコネクションしか張れないのは、スケーラブルではないと思います。
  何を言っているんだ?
  listenしているIPアドレスとポート番号が1つに定まっていたとしても、
  connectするホスト毎に16bit分コネクションを張れるぞ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そういう実装になっているOSあります?
    私の知るかぎり、IPアドレスによらずにポートがuniqueに割り当てられます。
    - Re:今回の教訓は? (スコア:2, 参考になる)
      
      by upken (38225) on 2009年07月12日 20時11分 (#1603767)
      
      Windows XPで試してみた。
      そういう実装になっていますよ。
      試行 10000回
      
      sv 192.168.0.10:80
      ├ cl 192.168.0.11:56055
      ├ cl 192.168.0.12:56055
      
      この話題だと思っていますが・・・
      
      シェア
      
      親コメント
      - Re:今回の教訓は? (スコア:3, 参考になる)
        
        by Anonymous Coward on 2009年07月12日 22時16分 (#1603793)
        
        おそらくサーバ側のポートの話でしょう。
        ネットでは、次のような間違った解説をよく見かけます。
        クライアントから同時に多数の接続を受けるサーバでは同時接続数がボトルネックになるので、それを増やすチューニングが必要になることがあります。具体的には(クライアントとして動くときの)ポートの範囲(特権ポートを除外するための設定)を、どこそこのパラメータを変えることで広げます。
        あるいは
        TCPコネクションが張られるとポート番号が1つ消費されてしまうが、しかしポートは番号65535個しかないので、数万個のTCPコネクションが張られるようなサイトを作るときには、サーバの分散化を検討しなければならない。
        そういうTips集には本人が効果を試さずに書いているものが多々ありまして、LinuxでもWindowsでも、気休めでしかないものばかりです。
        真実は、サーバ側のポート番号は常に1つです。たった1つのポートで、すべてのクライアントと通信できるのです。
        ただ、64K個のTCPコネクションを張るとなると、それだけでも相当なメモリ消費ですよ。
        SNDBUFとRCVBUFがそれぞれ64KBずつとしても、バッファだけで8GBにもなりますから。
        
        シェア
        
        親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        Windowsは反則だよ。ロバストでスケーラブルで、それでいて高速な実装してるから。
        
        Re:今回の教訓は? (スコア:1)
        
        by upken (38225) on 2009年07月12日 20時52分 (#1603775)
        
        ＞Windowsは反則だよ。
        
        意味わかんね。
        同じ条件ならLinuxでも同様の結果になるはずです。
        
        シェア
        
        親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      accept()のよこすソケットを、getsockname()してみれば、
      それらが全部、おなじポート番号を共有していることは、すぐにわかるのですが、
      そんなこともしたことのないやつが、TCP/IPのなにを、みなおそうというのでしょうか。
      わらえない、ジョークですね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Windowsがウィルスに感染したという話ですよ。使用禁止にするならセキュリティパッチを当ててないWindows。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    それは性善説ですよ。
    どうしてもパッチ漏れは出るしゼロデイもあるので、ある程度のDDoS攻撃をするノードが世界に存在するものとして対処しなければなりません。
    すなわち、たった数万ノードからのDDoS攻撃で潰れるようなアーキテクチャを改善すべきなのです。
    - Re:今回の教訓は? (スコア:2)
      
      by ttm (8278) on 2009年07月12日 19時31分 (#1603758)
      
      泥棒の被害が甚大だということならば、
      泥棒の侵入を減らすための保安だけでなく、
      泥棒を減らすための社会資本の充実も、
      長期的には非常に重要でしょう。
      
      シェア
      
      親コメント
    - Re:今回の教訓は? (スコア:1, すばらしい洞察)
      
      by Anonymous Coward on 2009年07月13日 8時27分 (#1603841)
      
      そうですよね。
      権限も無いのにWebDav経由で書き込みできちゃって
      何度も修正が入るようなWebサーバは禁止すべきですよね
      
      # ゼロデイが発生するのはDDoSに限ったことじゃないでしょ？
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か？ 42

韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か？ More ログイン

報告者のJoe Stewart(SecureWorks)曰く (スコア:5, 参考になる)

金儲けでも、技術誇示でもないウィルス (スコア:2)

Re:金儲けでも、技術誇示でもないウィルス (スコア:1)

Re: (スコア:0)

Re:金儲けでも、技術誇示でもないウィルス (スコア:1, オフトピック)

感染診断および駆除方法の情報求む (スコア:0)

今のところ感染経路すら分かっていないから (スコア:5, 参考になる)

Re: MyDoom 亜種 (スコア:3, 参考になる)

Re: (スコア:0)

Re: MyDoom 亜種 (スコア:1)

Re:感染診断および駆除方法の情報求む (スコア:3, 参考になる)

本当に消えるかどうか、日付を未来にしてみればいいんじゃない？ (スコア:0)

参照する日付 (スコア:1)

Re:参照する日付 (スコア:2, おもしろおかしい)

Re: (スコア:0)

良心的ではないですか (スコア:0)

ウイルスなんてどうでもいいよ (スコア:0)

Re:ウイルスなんてどうでもいいよ (スコア:3, すばらしい洞察)

Re:ウイルスなんてどうでもいいよ (スコア:2, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0, オフトピック)

今回の教訓は? (スコア:0)

Re:今回の教訓は? (スコア:2, おもしろおかしい)

Re: (スコア:0)

Re:今回の教訓は? (スコア:4, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

Re:今回の教訓は? (スコア:2, 参考になる)

Re:今回の教訓は? (スコア:3, 参考になる)

Re: (スコア:0)

Re:今回の教訓は? (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:今回の教訓は? (スコア:2)

Re:今回の教訓は? (スコア:1, すばらしい洞察)

スラド