Linuxベースのトロイの木馬型ウイルス（Qualys 社）

国際海外情報

2001年9月20日（木） 12時00分

　先ごろ、LinuxベースのウイルスRemote Shell Trojanが発見され、物議をかもした。しかし、セキュリティ専門家らが同ウイルスの機能を明らかにしたため、不安はひまず解消されるだろう。

　同ウイルスを解析したセキュリティ専門家によると、同ウイルスはLinuxのELF(Executable and Linking Format)ファイルに感染し、最初は/binディレクトリに現れる。しかし、ここで危険なのは、ELFは感染してもその事実を隠蔽して十分に機能しつづけるということだ。同ウイルスのプログラムの特性は、電子メールを介した自己増殖型と似ており、UDPポート5503かそれより高いポート番号を探し、感染したホストにバックドアをインストールする。攻撃者はTCPを介してこのポート番号に接続し、攻撃対象となるマシーンのユーザ実行権限であるシェルアクセス権を奪取する恐れがある。結果、メモリ常駐の感染活動は識別されないのだ。

　ウイルス研究者はRemote Shell Trojanに関し、高度なステルス機構を全て利用するわけではないと説明する。例えば、ファイルのサイズやファイル更新日は感染する際に変更されるため、容易に検出できる。つまり、基幹サーバに配備されたホストベースのチェックサム・ツールで検出が可能になるわけだ。

　セキュリティ会社のQualys 社は「同ウイルスは、通常電子メールのバイナリ形式添付もしくはダウンロードしたソフトウェアを介して届く。インターネットを介しLinuxサーバに感染して増殖するということは、Code Redよりも感染力が強いことを意味するが、ユーザが注意を払っていれば感染は免れる」と説明した。

《ScanNetSecurity》