前年 | 前日 | 01/04/19 | 翌日 | 翌年
04/19(thu)09:09わ ) Linux向けRamen, Lion, Adore   …といえば
Subject:
JPCERT/CC Alert(Linux Worm) 2001-04-18
Date:
Wed, 18 Apr 2001 17:21:48 +0900
From:
JPCERT/CC
To:
announce@list.jpcert.or.jp




-----BEGIN PGP SIGNED MESSAGE-----

各位

JPCERT-AT-2001-0004
JPCERT/CC
2001-04-18

<<< JPCERT/CC Alert(Linux Worm) 2001-04-18 >>>


2001年初頭より Ramen, Lion, Adore と、Linux オペレーティングシステム
に感染する新種のワームが広まりつつあります。すでに JPCERT/CC でも、こ
れらのワームに関するインシデント報告を受け付けています。

これらのワームでは BIND, LPRng, rpc.statd, wu-ftpd のセキュリティ上の
弱点を利用しています。感染力が強く、場合によっては影響範囲も大きいため、
早急な対応を強くお勧めします。

すでに各 Linux ディストリビュータから本件に関するパッチまたは更新され
たパッケージが出されています(この文書の終りにある URL をご参照下さい)。
適切にこれらのパッチを適用、またはパッケージの更新を行うことを強くお勧め
します。


これらのワームに関して CIAC (Computer Incident Advisory Capability)か
らレポートが出されています。詳細については以下の URL から Fiscal Year
2001 のリンクをたどって、それぞれの文書を入手の上ご覧下さい。

http://www.ciac.org/cgi-bin/index/bulletins

L-040 "The Ramen Worm", CIAC INFORMATION BULLETIN
L-064 "The Lion Internet Worm DDOS Risk", CIAC INFORMATION BULLETIN
L-067 "Linux worm Adore", CIAC INFORMATION BULLETIN


ワームが利用する弱点についての詳細は以下の URL をご参照下さい。

CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND
http://www.cert.org/advisories/CA-2001-02.html

CERT Advisory CA-2000-22 Input Validation Problems in LPRng
http://www.cert.org/advisories/CA-2000-22.html

CERT Advisory CA-2000-17 Input Validation Problem in rpc.statd
http://www.cert.org/advisories/CA-2000-17.html

CERT Advisory CA-2000-13 Two Input Validation Problems In FTPD
http://www.cert.org/advisories/CA-2000-13.html


また SANS (System Administration, Networking, and Security) Institute
から、これらのワームを発見するツールが公開されています。詳細については以
下の URL を参照してください。

Ramen http://www.sans.org/y2k/ramen.htm
Lion http://www.sans.org/y2k/lion.htm
Adore http://www.sans.org/y2k/adore.htm


ワームが発見された際の対応一般につきましては以下の資料もご覧ください。

コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2000/ed000007.txt

関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2000/ed000006.txt


A. 参考情報

以下に各ワームの概要について説明します。

- - Ramen Worm

Ramen ワームは RedHat Linux 6.2 と 7.0 を攻撃対象としたワームで、最
新のパッチが適用されていない LPRng, rpc.statd, wu-ftpd を攻撃します。

特徴として、感染後にランダムに生成したクラス B ネットワークをスキャ
ンして自分自身を感染させようとします。また、感染後にはポート 27374 で
HTTP サービスを提供し、このポートを経由してワームが含まれたアーカイブ
ファイルを提供します。また、感染したことを、電子メールで h...ail.com
と yahoo.com のあるアカウントに通知します。このメールのサブジェクトは
感染元となったホストの IP アドレスです。

感染ホストのウェブコンテンツである index.html を書き換え、Ramen Crew
という文字列とともに Ramen の画像を表示するようにするため、この名前がつ
けられました。


- - Lion Worm

Lion ワームは複数の裏口と DDoS ツールである Tribe Flood Network
(tfn2k) を仕込みます。感染するプラットホームはインテル x86 アークテクチャ
上のLinux システムで 8.2.3-REL より前のバージョンの BIND を動かしている
ホストです。

このワームは多数のユーティリティコマンドを書き換えるため、システムの再
インストールが必要となります。

ワームの特徴として、china.com に電子メールを出すことと、裏口として
1008, 60008, 33567, 33568 の各ポートを利用することが報告されています。


- - Adore Worm

Adore ワームは Ramen および Lion から派生したワームで、動作原理は似た
ものです。BIND, LPRng, rpc.statd, wu-ftpd を同時に攻撃対象とします。

感染するプラットホームはインテル x86 アークテクチャ上の Linux システム
で、上記各サービスに対して最新のパッチが適用されていないホストです。

このワームは、当初 Red Worm と呼ばれました、なぜなら RedHat Linux 7.0
ではデフォルトで LPRng がインストールされるため、対策がとられていない多
くの RedHat Linux ホストに感染することが予想されたからです。

このワームは感染すると一つの裏口を仕込みます。そしてシステム情報を特定
の電子メールアドレスに送信します。


B. 最新パッチ、パッケージ

各ディストリビューションの最新パッチ、パッケージ情報については以下の URL
を参照してください。

RedHat Linux 7.0
http://www.redhat.com/support/errata/rh7-errata-security.html

RedHat Linux 6.2
http://www.redhat.com/support/errata/rh62-errata-security.html

Debian GNU/Linux
http://www.debian.org/security/2001/

Mandrake Linux
http://www.linux-mandrake.com/en/security/

SuSE Linux
http://www.suse.com/us/support/security/index.html

Turbo Linux
http://www.turbolinux.co.jp/security/

Vine Linux
http://vinelinux.org/errata/2x/i386.html

Kondra MNU/Linux
http://www.kondara.org/


なお、今回の件につきまして当方まで提供いただける情報がございましたら、
ご連絡下さい。

======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
TEL: 03-5575-7762 FAX: 03-5575-7764
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBOt1OnIx1ay4slNTtAQGV7gP/YXt8xgFrB6x6790Tn+r6oJteKPbOXTlu
eS6JdhCRTU1S79UQZUjbEu9v62TC3u75yEHEPwDBygudHxa3T9t56kA1AT4+GwQn
aZ6jgrxBEhiVLrkDktJ46Drqk+1pG1kP3BnH6kM1iOd0QV3F1jnQmfpbTDXJv6td
MLBaf+pNCvE=
=qUUj
-----END PGP SIGNATURE-----

04/19(thu)09:20わ ) RealNews 配信解除はこちらから *   …といえば
mailbox.co.za 日本語が化けちゃうようになってから
一年くらい経過しただろうか?

不要な DMが届くので配信解除をしなくちゃならないが
日本語が化けているので 解除手続きが わかりにくい

該当記事 2 / 2 件

これらの記事にコメントとか
名前 本名 
題名
内容
H.P.
(写)メール投稿 こよみ

©