[stalk:00747] Re: CodeRedWorm

[Shikap <shikap@xxxxxxxxxxxx>]

しかＰです。

on 01.8.6 10:01 AM, Hideaki Ihara at hideaki@xxxxxxxxxxxxx wrote:
>> hsjさん曰く、
>> CodeRedが大量にネットワークコネクトしようとする上、どうやら
>> NT系のnetstatが表示上のバグ持ちなのでそう言う風に見える。
> 
> あ、しつもーん。

・・・あたしに質問されても・・・・（苦笑）

> CodeRed が外部への攻撃を行う際に利用するポートが netstat では
> LISTENING 状態に見えてしまうのでしょうか？
> それとも、実際に CodeRed がコード中で何らかの通信用に LISTENING
> 状態でポートを開いているのでしょうか？

これについては、hsjさんも「なんだかよくわからないけど」と
言っていたような気が。
リスン状態にみえるんじゃねぇの？的なのりでした。
本当は感染サーバをnmapでなめるように見た方がいいとは思うんですが。
そこまでやる根性はなかったです。

>> CodeRedはメモリ感染なので、再起動かけるとワームは消えてしまう
>> ので、リスンポートがなくなったように見える。
> 
> かなり適当な推測というかいま思いついたのですが、inetinfo.exe
> はデフォルトで 3001−30115/tcp 辺りのポートを LISTENIG で空け
> ますが、ひょっとして CodeRed により増幅された inetinfo.exe が
> その度にこのポートを増やしてたりしないっすかね？
> CodeRed 自体はポートを空けたりしてないんだけど、利用している
> inetinfo.exe のプロセスが勝手に空けるので CodeRed が立ち上げる
> スレッド数分ポートがあいてるぞ〜みたいな。
> ＃かなり適当な推測なので信じてはいけません:p

ただなぁ、とんでもなく大量にリスンのリストを眺める羽目になるんですよ、
食らうと。
どっかで（もう忘れましたが）CodeRedは３００程度のスレッドでポートを
開いて他サーバにアクセスするらしい、とか言う話を読んだのですが、
３００個で済んだかなぁ。もっとあったように思えるような思えないような。
＃もう忘却の彼方(^^;;
＃だって、寝てなかったもん。ほとんどトランス状態だったもん(^^;;;;
数の問題を除けば、たしかにそうかもしれないですね。
今となっては、テストしようがないのですが。

と言うわけで、CoreRed捕獲＆テストきぼー＞いはらさん


-- 
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　鹿田　幸治　　　　　　　Koji.Shikata
　　　E-Mail:shikap@xxxxxxxxxxxx
snortパッチ公開中：http://www.yk.rim.or.jp/‾shikap/patch/
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝


--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122