早稲田大学のWEBサーバより感染するウイルス「Linux.Devnull」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.13(木)

早稲田大学のWEBサーバより感染するウイルス「Linux.Devnull」

 「Slapper」同様、OpenSSLの脆弱性を利用したウイルス「Linux.Devnull」が発見された。

国際 海外情報
 「Slapper」同様、OpenSSLの脆弱性を利用したウイルス「Linux.Devnull」が発見された。

 このウイルスに感染したマシンは、早稲田大学のWEBサーバに設置されたシェルスクリプトのダウンロードを試みる。このスクリプトは、同じWebサーバーよりGZIPファイルをダウンロードし、そこに圧縮されているIRCクライアントを解凍し実行するコードが記述されている。
 また、このスクリプトは、別のEXEファイルと、C言語のソースファイルを含んだファイルをダウンロードする。これらのファイルは、自動でソースのコンパイルが実行され、コンパイルされたプログラムによりOpenSSLの脆弱性が残っているWebサーバーの検索を開始。脆弱性のあるシステムを発見すると、スクリプトファイルを送信し、リモートよりこれらのプロセスを繰り返し実行する。

 なお、日本エフ・セキュアでは、早稲田大学に対しこのウイルスの存在を通知し、現在Webサーバー上のファイルの削除するよう手配している。なお、一旦削除に成功すれば、このウイルスの感染は停止するため、今後の拡大は防げるとのことだ。

日本エフ・セキュア
http://www.f-secure.co.jp

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×