シマンテック・セキュリティ・レスポンス

http://www.symantec.com/ja/jp/security_response/index.jsp

Linux.Kaiten

危険度1: ほとんど影響なし

発見日:
2014 年 7 月 18 日
更新日:
2014 年 9 月 30 日 5:01:22 AM
種別:
Trojan, Virus
影響を受けるシステム:
Linux
CVE 識別番号:
CVE-2004-1692, CVE-2004-1693

危険性の評価

Linux.Kaiten は、侵入先のコンピュータでバックドアを開き、その他の悪質な操作を可能にするトロイの木馬です。

ウイルス対策日

  • Rapid Release 初回バージョン2014 年 7 月 18 日 リビジョン019
  • Rapid Release 最新バージョン2019 年 9 月 9 日 リビジョン023
  • Daily Certified 初回バージョン2014 年 7 月 19 日 リビジョン001
  • Daily Certified 最新バージョン2019 年 8 月 15 日 リビジョン002
  • Weekly Certified 初回リリース日2014 年 7 月 23 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

テクニカルノート

このトロイの木馬は、ユーザーが手動でインストールして実行する必要があります。

このトロイの木馬が実行されると、次のファイルを改ざんして、ユーザーがログインするたびに自分自身が実行されるようにします。
/etc/init.d/rc.local

このトロイの木馬は侵入先のコンピュータでバックドアを開き、IRCU ポート (TCP 6667) で次のロケーションに接続します。
ich-hab.sytes.net

また、このトロイの木馬は次のロケーションに接続する可能性があります。
  • mumumu.duckdns.org
  • mummuu.prxy8080.com
  • jappyupdate.servehttp.com
  • linuxupdatejappy.servepics.com

続いて、このトロイの木馬は IRC チャネルに参加して、リモートの攻撃者が次の操作を実行できるようにするためのコマンドを待ち受けます。
  • プロセスを終了する
  • ファイルをダウンロードして実行する
  • クライアントのニックネームを変更する
  • サーバーを変更する
  • パケット通信を有効または無効にする
  • SYN と UDP を使って分散型サービス拒否 (DDoS) 攻撃を実行する
  • フラッドの手法を実行する
  • UDP パケットを送信する
  • IP アドレスを詐称する
  • クライアントを終了させる

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。

駆除方法

以下の手順は、Symantec AntiVirus for Linux をご利用のお客様を対象に記述されています。
  1. ウイルス定義を最新版に更新する
  2. システムの完全スキャンを実行する

1. ウイルス定義を最新版に更新する
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済みです。最新版のウイルス定義ファイルは、次の 2 つの方法で入手できます。
  • LiveUpdate を実行すると、簡単にウイルス定義ファイルを入手できます。Symantec AntiVirus for Linux をご利用の場合は、LiveUpdate の定義は毎日更新されます。
  • Intelligent Updater のウイルス定義ファイルは、こちらからダウンロード可能です。Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することにより、ご使用のコンピュータのウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日更新され、LiveUpdate よりも早いタイミングで更新されます。

2. システムの完全スキャンを実行する

Linux でシステムの完全スキャンを実行するには、コマンドラインを開き、次のコマンドを入力します。

sav manualscan --scan /

何らかのファイルが検出された場合は、ご利用のウイルス対策プログラムが表示する手順に従ってください。