アカウント名:
パスワード:
再インストールしか手がなかったりしてw
/.Jも含め多くのニュースサイトで MyDoom 亜種が原因と報道されていますが、
エフセキュアブログ : 米国および韓国WebサイトへのLyzapo DDoS 攻撃 [f-secure.jp](2009年07月09日05:05)
この攻撃を、5年前に登場したMydoomワーム・ファミリーに結びつける情報筋もある。以下に、今回の件に関し、我々が知っていることをまとめると:この攻撃に関連するサンプルファイル群は、複数のアンチ・ウィルス・ラボで共有されている。それらのファイルの一つ(MD5: 93322e3614babd2f36131d604fb42905)は、実際、Mydoomの亜種だ。我々はそれがEmail- Worm.Win32.Mydoom.hwであることを確認している。しかし、現在DDoSの標的とされているサイトのいずれかを、このファイルが攻撃するという証拠を発見するには至っていない。
エフセキュアブログ:サイバーテロってやっぱり恐い!? [f-secure.jp](2009年07月09日21:45)
一部の検体は、Mydoomの亜種が含まれているなどの情報が流れていますが、その詳細は不明です。感染経路さえも推測の域を出ていません。検体においても、昨日の検体が入手出来たと思ったら、本日には別の検体が登場しています。当初報告のあったゾンビPCが特定のケーブルテレビ利用者であったことや、攻撃先が限定されているとの報告から、今回の攻撃の計画性の高さが伺えます。
一部の検体は、Mydoomの亜種が含まれているなどの情報が流れていますが、その詳細は不明です。感染経路さえも推測の域を出ていません。
検体においても、昨日の検体が入手出来たと思ったら、本日には別の検体が登場しています。
当初報告のあったゾンビPCが特定のケーブルテレビ利用者であったことや、攻撃先が限定されているとの報告から、今回の攻撃の計画性の高さが伺えます。
マルウェア4種が連携、拡散と攻撃を繰り返す [cnet.com]
今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」の4つ(名称はシマンテックによるもの)が互いに連携して、拡散と攻撃を繰り返す。 感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A@mm が入り込む。 こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。 W32.Mydoom.A@mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。 バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。 TCP53から「213.33.116.41」TCP80から216.199.83.203」TCP443から「213.23.243.210」 トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。
今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」の4つ(名称はシマンテックによるもの)が互いに連携して、拡散と攻撃を繰り返す。
感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A@mm が入り込む。
こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。 W32.Mydoom.A@mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。
バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。
トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。
ところで、攻撃をさせている犯人についてロイターでは「韓国では北朝鮮を除外」としています。
たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…サイバー攻撃、北朝鮮は疑いリストから除外 [reuters.com]
韓国の大手ウェブセキュリティ会社Ahnlabは、被害を受けてデータが破壊されるコンピューターは膨大な数にのぼる可能性があると指摘、「被害を受けたパソコンは起動できなくなり、保存されたファイルは使用不能になる」と述べた。 KCCは、攻撃の主体として疑われるホスト・ウェブサイトの所在地として、ドイツ、オーストリア、米国、グルジア、韓国を挙げた。
韓国の大手ウェブセキュリティ会社Ahnlabは、被害を受けてデータが破壊されるコンピューターは膨大な数にのぼる可能性があると指摘、「被害を受けたパソコンは起動できなくなり、保存されたファイルは使用不能になる」と述べた。
KCCは、攻撃の主体として疑われるホスト・ウェブサイトの所在地として、ドイツ、オーストリア、米国、グルジア、韓国を挙げた。
ロイターがバカなのかKCCがバカなのか…
> たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが… :> ロイターがバカなのかKCCがバカなのか…
いやいや、一番ありそうなパターンが抜け落ちてますよ。つ [犯人がバカ]
もうひとつ抜けてますよ。
つ 「馬鹿と言った奴が馬鹿」
とりあえず、JPCERT/CC の注意喚起 [jpcert.or.jp]。
ウィルス対策ソフトで検出できるように書いてあります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
感染診断および駆除方法の情報求む (スコア:0)
再インストールしか手がなかったりしてw
今のところ感染経路すら分かっていないから (スコア:5, 参考になる)
/.Jも含め多くのニュースサイトで MyDoom 亜種が原因と報道されていますが、
エフセキュアブログ : 米国および韓国WebサイトへのLyzapo DDoS 攻撃 [f-secure.jp](2009年07月09日05:05)
エフセキュアブログ:サイバーテロってやっぱり恐い!? [f-secure.jp](2009年07月09日21:45)
モデレータは基本役立たずなの気にしてないよ
Re: MyDoom 亜種 (スコア:3, 参考になる)
マルウェア4種が連携、拡散と攻撃を繰り返す [cnet.com]
ところで、攻撃をさせている犯人についてロイターでは「韓国では北朝鮮を除外」としています。
たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
サイバー攻撃、北朝鮮は疑いリストから除外 [reuters.com]
ロイターがバカなのかKCCがバカなのか…
Re: (スコア:0)
> たまたまウイルスをホスティングしている国に犯人がいるとかいう可能性はないと思いますが…
:
> ロイターがバカなのかKCCがバカなのか…
いやいや、一番ありそうなパターンが抜け落ちてますよ。
つ [犯人がバカ]
Re: MyDoom 亜種 (スコア:1)
もうひとつ抜けてますよ。
つ 「馬鹿と言った奴が馬鹿」
Re:感染診断および駆除方法の情報求む (スコア:3, 参考になる)
とりあえず、JPCERT/CC の注意喚起 [jpcert.or.jp]。
ウィルス対策ソフトで検出できるように書いてあります。