Linux.Slapper.WormはOpenSSLのバッファオーバフローの脆弱性を悪用し、リモートシステム上のshellを実行します。このワームは、Linuxシステム（SuSe、Mandrake、RedHat、Slackware、Debianディストリビューション）上にインストールされている脆弱なApache Webサーバーを標的にしています。また、このワームには分散型サービス拒否（DDoS）攻撃のコードが含まれています。

Symantec DeepSight Threat Management Systemのデータによると、現在3500台以上のコンピュータでこのワームによる活動が確認されています。このデータの中には、このワームに関する感染報告が最初に寄せられたポルトガルおよびルーマニアも含まれています。

別名: Apache/mod_ssl Worm

種別: ワーム

影響を受けるシステム: Linux

影響を受けないシステム: Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh

CVE識別番号: CAN-2002-0656

対応日(Intelligent Updater)* 02/09/16(米国時間) 対応日(Live UpdateTM)** 02/09/18(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 50-999 報告件数: 10以上 地域感染度: 中 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 中 ダメージ: 低 感染力: 中

感染力

• ポート: 80, 443, 2002
  
• 感染対象: 様々なディストリビューションのLinuxにインストールされているApache Webサーバー
  

Linux.Slapper.WormはPort 80に接続し、不正なGETリクエストをサーバーに送信してそのシステムがApacheのシステムかどうかを確認します。ワームはApacheのシステムを発見すると、port 443に接続して脆弱性を利用する不正なコードをリモートシステム上で待機しているSSLサービスに送信します。

ワームはIntel搭載システム上でのみ動作するLinuxのshellコードの脆弱性を利用します。このコードが正確に動作するのは、/bin/shというシェルコマンドが存在する場合のみです。ワームは".bugtraq.c"(このファイルを表示するのはls -aコマンドのみです。) という独自のソースコードをUU-encode形式で暗号化し、それをリモートシステムに送信し、その後、ファイルを復号化します。次に、ワームはそのファイルをgccコンパイラを使ってコンパイルし、".bugtraq"というバイナリを実行します。これらのファイルは/tmpディレクトリに置かれます。

このバイナリはIPアドレスとともにパラメータとして実行されます。そのIPアドレスはは攻撃者のコンピュータのアドレスであり、後でサービス拒否攻撃を行えるように、ワームに感染したシステムのネットワークを作成するために使用されます。このワームによってセキュリティが低下したシステムはUDPポート 2002で攻撃者からの指示を待機します。

ワームは、以下の数値をランダムに組み合わせたIPアドレスを使ってApacheシステムをランダムにスキャンすることで新たな攻撃対象を探します。

3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

注意: 以下の手順は、Symantec AntiVrusおよびNorton AntiVirus製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

1. ウイルス定義を最新版に更新します。
   
2. システム全体のスキャンを実行し、Linux.Slapper.Wormとして検出されたファイルをすべて削除します。
   

具体的な手順については、以下のセクションをご覧ください。

ウイルス定義を更新するには：
すべてのウイルス定義はサーバーに送信される前に、Symantec Security Responseによってテストされ、品質が保証されています。最新版のウイルス定義は次の2通りの方法で入手できます。

• LiveUpdateを実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdateを通じて配布されているウイルス定義ファイルは、Symantec Security Responseの完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義がLiveUpdateを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
  
• Intelligent UpdaterTM を使用してウイルス定義をダウンロードする方法。Intelligent UpdaterTM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日〜金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security ResponseのWebサイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義がIntelligent Updaterを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。
  
  Intelligent Updaterのウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。
  
  

感染ファイルを探して削除するには：

1. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
2. システム全体のスキャンを実行します。
3. Linux.Slapper.Wormに感染しているファイルが検出されたら、[削除]をクリックします。
   
   

追加情報

詳細については、下記ページにあるセキュリティアドバイザリをご覧ください。
http://www.symantec.com/region/jp/sarcj/security/content/2002.09.13.html

脆弱性問題のある製品の修正パッチについては、下記ページをご覧ください。
Http://online.securityfocus.com/bid/5363/solution（英語）