Re:善し悪しは目的しだいかと。 (#1140115) | ボットネットは主に2種類のワームが構築

「ボットネットは主に2種類のワームが構築」記事へのコメント

記事ページを表示すべてのコメント取得

検索37コメント Log In/Create an Account

善し悪しは目的しだいかと。 (スコア:1)

by akira_t_t (31146)

ボットの場合検出されない事を目標としているのではなさそうなのでそこで性能をはかるのは疑問です。

単にコンピュータの数を確保したいだけで、セキュリティの甘いコンピュータが大量にあれば
感染力は強いが、検出されやすいというのも合理的な戦略だとおもいます。
- Re:善し悪しは目的しだいかと。 (スコア:1, 参考になる)
  
  by Anonymous Coward
  
  感染力と検出の難しさは天秤にかけるものではありませんが？
  最近のマルウェアは寿命を延ばすために解析しにくい工夫がなされているものが多いですよ。
  - Re:善し悪しは目的しだいかと。 (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2007年04月10日 9時35分 (#1140115)
    
    具体例を挙げてくれないと単なるFUDになってしまいますよ？
    
    シェア
    
    親コメント
    - Re:善し悪しは目的しだいかと。 (スコア:3, 参考になる)
      
      by ex (1307) on 2007年04月10日 12時49分 (#1140255) ホームページ日記
      
      まぁ、とりあえずこの辺の記事は一読しといて損は無いかと思います。
      
      ”ボットネット概要”発表 - ISS高橋氏・ラック新井氏がボットを語る [mycom.co.jp]
      
      ＞この中で、パターンマッチング対策として紹介されているのが、圧縮ツールを用いた難読化だ。
      ＞SymantecのKevin Hogan氏も指摘しているが、実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、
      ＞これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。
      
      もっと詳しい資料は、JPCERT/CC [jpcert.or.jp]のボットネット研究資料 [jpcert.or.jp]にもあります。
      
      最近の事例だと、Storm Wormがrootkit的な技術を用いていました。
      暴風雨被害の動画を装うトロイの木馬「Storm Worm」、各国で大規模な被害 [impress.co.jp]
      マルウェア抗争の再来？　ボットネットがWarezov陣営を攻撃 [itmedia.co.jp]
      
      シェア
      
      親コメント
      - Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by kanie (911) on 2007年04月10日 15時06分 (#1140333)
        
        実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。
        
        1994年にはすでにありました。MS-DOS上のvirusの話だけど。ミューテーションウイルスと呼ばれていました。
        
        デバッガ上またはVMware等の仮想システム上で実行されていることを検出する機能があり、これを検出した場合、活動を停止したり、自分自身を消去するものがある
        
        cloakingも同じく。MS-DOSのAPIをフックして、感染したファイルを開くと一時的に除去したり、メモリ上から消えたり。
        
        あれからもう10年以上経っているのだし、駆除妨害はもっと面白い手法が生まれててもおかしくないのですが。
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by Another_View (29838) on 2007年04月10日 15時48分 (#1140355) ホームページ日記
        
        というかWindows時代になって、マシンパワーの飛躍的向上とともに、
        ファイルサイズやリソースなど誰も気にしなくなったため、
        ミューテーションとかクローキングなんてしなくなってませんか？
        
        ウイルス対策製品が導入されていないPCも十分に多いのだから、
        それをターゲットにすればよしと。
        
        さらに言えば、既存の実行ファイルにくっついて感染するウイルスよりも、
        単体で動作するワームのほうが主流に見えます。
        これも、Windows時代になって、システムのファイル数が飛躍的に増大し、
        ディレクトリも深く掘るのが普通に行われるようになったため、
        ワームを隠すのが簡単になったからでしょう。
        
        ウイルスやワームにとっては良い環境になったわけです。
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by kjm (1606) on 2007年04月10日 16時39分 (#1140375) ホームページ
        
        packing とミューテーションウイルス (polymorphic virus [sophia-it.com]) は全く別の話です。packing というのは、昔で言うと diet [vector.co.jp]、今で言うと UPX [sourceforge.net] みたいなプログラム (packer) で変換することです。
        
        シェア
        
        親コメント
    - Re:善し悪しは目的しだいかと。 (スコア:1, 参考になる)
      
      by Anonymous Coward on 2007年04月10日 13時13分 (#1140270)
      
      元ACです。
      
      名前を失念してしまいましたが、仮想マシン上でマルウェアを動かして動作前と動作後の差を取り出せるツールがあって、それを防ぐために仮想マシン上での動作の場合は何もしないっていうマルウェアが多いはずです。
      あと、ここらへんが参考になるんじゃないでしょうか。
      
      http://www.itmedia.co.jp/enterprise/articles/0612/28/news042.html [itmedia.co.jp]
      http://www.itmedia.co.jp/news/articles/0606/29/news068.html [itmedia.co.jp]
      
      1番目の記事は、最近は逆にそういう対策が無くなって来た、とかかれてますが。
      
      シェア
      
      親コメント
    - Re:善し悪しは目的しだいかと。 (スコア:0)
      
      by Anonymous Coward
      
      ワームに対するFUDで困る人って…。
      つまり、貴方はこれらのワームを利用しているので、FUDにより利益が損なわれるのではという懸念ですか？
      - Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by goji (949) on 2007年04月10日 10時47分 (#1140170) ホームページ日記
        
        不当に驚異を煽り立てて対策ソリューションを購入させるってことにならない?
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by 127.0.0.1 (33105) on 2007年04月10日 13時35分 (#1140287) 日記
        
        「うおおぉぉこのBotはビックリ仰天、たまげた!!」な驚異じゃなくて、脅威ですよね。
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        >不当に驚異を煽り立てて対策ソリューションを購入させるってことにならない?
        
        と「Linuxにはアンチウイルスは要らない」なんて言ってる人に騙され、
        本当に要らないと思い込んで導入せず、Bot化されているLinuxサーバや
        マルウェアをばら撒きまくっているメールサーバならたくさん知ってます。
        
        Re:善し悪しは目的しだいかと。 (スコア:1, 興味深い)
        
        by Anonymous Coward on 2007年04月10日 13時02分 (#1140262)
        
        Linux上で動作するウィルスは、多くがインターネットに公開されたサービス、
        もしくは有名なwebアプリケーションの脆弱性を利用して感染を
        広めるタイプのモノだと思いますが、そういう通信（攻撃）を検知し、
        実行を食い止めるアンチウィルスソフトがあるのでしょうか。
        それはIPSなどの領域では？
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by goji (949) on 2007年04月10日 15時05分 (#1140332) ホームページ日記
        
        事実ならFUDちゃうやん。
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        多いだのたくさん知ってるだのって主観的過ぎてわからん。
        感染力にしても検出力にしてもLinuxにしても、元々のワームにしても具体的にはどうなのってところが俎上にあがってるんじゃないの？
        
        という訳で以下続く
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        たくさんって、具体的にはどれくらい？
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        (ここでのウイルスはあれやこれや広義の意味として)
        
        うん、だから、「Linuxで動くウイルス」に対応したアンチウイルスソフト(Linux用)が存在するのなら教えてほしいんですけど。
        
        知らないものは導入しようがないです。
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        マックではウィルスは大丈夫というCMにだまされ
        ウィルスまみれになるのはいいとしても、
        ばら撒きまくっていた友人が数人いました。
        駆除して回ってびっくりしたあるよ。
        
        Re:善し悪しは目的しだいかと。 (スコア:1, おもしろおかしい)
        
        by Anonymous Coward on 2007年04月10日 13時27分 (#1140279)
        
        3 つ以上。
        
        ＃雑魚なのでAC
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        はいはい、現実を直視しようとしないコメントご苦労さん。
        
        毎日のように送られてくるウイルスメールは、どんなサーバを通ってきてる？
        毎日世界中からSSHでスキャンがされるんだが、これに逆スキャンすると
        どんなマシンなのかシグネチャがわかるんだけど、見てみたかい？
        
        現実を否定するのは簡単。妄想を信じればいい。
        夢の国に住んでいれば、嫌なことなんてないよね。
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        具体例を示さずに意見を延べて、その根拠を求められたら
        「嘘だったら誰が困るの？」「自分で調べてみれば？」で済むのも夢の国ですよ。
        「数値は今出せませんが」などと書けば済むことで、質問者を罵倒する必要はありません。
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        >毎日世界中からSSHでスキャンがされるんだが、これに逆スキャンするとどんなマシンなのかシグネチャがわかるんだけど、見てみたかい？
        
        貴方がスキャンされたものの逆スキャン結果が、他の人でも見られるようにしてないなら、「見てみたかい」等と言われても困りますな。
        ぜひ一般公開してください。
        とりあえずトップ100くらい、このスレにコピペしてよ。
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        このへんにこれを設置しておきますね。
        
        ということにしたいのですね。
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        >ウイルスメールは、どんなサーバを通ってきてる？
        例えばUnix系OSのホストだとして、ただのOpenProxyと違いますか。それは・・・
        
        ホントに調査してます？ウィルス送信元が、どうしてウィルスに感染してると
        考えられるのでしょうか。
        
        Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by gesaku (7381) on 2007年04月10日 17時54分 (#1140415)
        
        うちのサーバも毎日のようにSSHにアタックしてくるので、既知のSSHポートはダミーにして
        わざとたくさんID/PASSWORDセットを垂れ流させて回収してます（笑）
        さすがにアクセス元地域のベスト100なんて書きませんが、上位に222.xxx.xxx.xxxなIPが
        結構ランクインしてます。
        最近の傾向としてはUS方面からのアタックが増加傾向です。しかもID辞書が日本人名。
        
        ＃収集家gesaku
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        みんなが見たがってるのは、逆スキャン結果であって、
        統計の結果じゃないと思うぞ。
        今話題になってるのは、OSの種類の話ですぜ。
        
        # 多分、「逆スキャンしていいのか」という問題で燃え上がりたいんだ。
        
        Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by rnk (11502) on 2007年04月10日 22時37分 (#1140522)
        
        > うん、だから、「Linuxで動くウイルス」に対応したアンチウイルスソフト(Linux用)
        > が存在するのなら教えてほしいんですけど。
        
        ClamAV [clamav.net]のVirus Database Search [securesites.net]で，"Linux"をキーワードにして検索してみると，ClamAVがかなりの数の(広義の)ウィルスに対応しているのがわかると思いますよ．
        
        シェア
        
        親コメント
        
        Re:善し悪しは目的しだいかと。 (スコア:0)
        
        by Anonymous Coward
        
        ありがとうございます。ClamAVですか。これで定期的にディスク全体(選んでもいいけど)をスキャンするわけですね。
        
        OSのファイルの読み書き処理に割り込んでチェックする、なんて危ないやつではない、と。
        
        Re:善し悪しは目的しだいかと。 (スコア:1)
        
        by gesaku (7381) on 2007年04月11日 13時13分 (#1140926)
        
        手持ちのアタック元IPアドレスデータベースに片っ端から逆スキャンするのは時間さえあれば可能。
        でも、あえてそれに触れなかったのはグレーゾーンだから。
        だったらアタックしてきたID/PASSセット（＋α）で相手を分類、推察してやろうってだけの話です。
        ＃ID出してブラックな話をする勇気なんて私にはありませんので
        ＃だからといってACだったら何でも言っていいのかっつー話もあるが
        
        出てくる（送ってくる）モノだけで中身を推察してやろうなんて、（出来るかどうかは別として）アレゲじゃありませんか？
        
        ＃「箱の中身は何だろう」ゲームでウミウシ入れられて失神しかけたgesaku
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ボットネットは主に2種類のワームが構築 More ログイン

「ボットネットは主に2種類のワームが構築」記事へのコメント

善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:1, 参考になる)

Re:善し悪しは目的しだいかと。 (スコア:1, おもしろおかしい)

Re:善し悪しは目的しだいかと。 (スコア:3, 参考になる)

Re:善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:1, 参考になる)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:1, 興味深い)

Re:善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:1, おもしろおかしい)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:1)

Re:善し悪しは目的しだいかと。 (スコア:0)

Re:善し悪しは目的しだいかと。 (スコア:1)

スラド