Projects‎ > ‎Information Security‎ > ‎Honeypot‎ > ‎Whitepapers‎ > ‎

worm

Know Your Enemy: 
Worms at War

The Not so Friendly World of Cyberspace 

Honeynet Project 
http://www.honeynet.org 
Last Modified: 9 November, 2000 
translated by SHIBUYA Yoshihiro

この記事は純粋な好奇心から生まれ た。我々のハニーネットはUDPポート137とTCPポート139のスキャンを続けざま に受けた。ネットワークは一日に5から10回これらのポートへのスキャンを 受けた。目標はこれらのスキャンが何であるのかを学ぶことにある。これらの 行動の何がインターネット上で間違っているのであろうか?ポートを見るに、 我々はこのスキャンがウインドウの脆弱性を探っていると仮定している。計画 としては、Win98でハニーポットを構築し、しばらく待つことだ。そう長く待つ ことはない。Know Your Enemyシリーズの続きが始まる。 
 

The Setup 
9月20日から10月20日までの1ヶ月間、我々はハニーネット上に524 unique NetBIOS scansを確認した。これら のスキャンはUDP137(NetBIOSネームサービス)とTCP139(NetBIOSセッションサー ビス)で成り立っていた。特定のサービスへのスキャンが多く、いくつかは成功 し、我々はそれが何であるかを確認することにした。ハニーネット自体はイン ターネット上で存在を示していない。ただネットワーク上に置いて待っている だけである。このことは、スキャンがインターネット上で行われているありふ れたランダムのものであることを示している。あなたのシステムも同じような 脅威にさらされている。これらのスキャンはWindowsベースの家庭用常時接続に 焦点を当てている。我々は企業の探索やweb 改竄について話しているのではな く、家庭の個人がターゲットとなっていることを言いたいのである。我々は誰 がスキャンし、目的は何で、どれだけの量をスキャンしているのかに興味があ る。これはワームに相当するものであろうか?疑問はたくさんある。そこで我々 はWindows98のハニーポットをシステムに加えることにした。Windows98をデフォ ルトインストールし、cドライブを共有とした。Windows98のハニーポットなん て、聞こえはよくないかも知れないが、得られる情報もある。

  1. Windows98はインターネット上に多数接続されており、その数は急速に増えてい る。特に、セキュリティが弱く、家庭でよく使われている。多くの持ち主が危 険にさらされていることを知らないままインターネットに接続している。
  2. これは我々のクラックされた初めてのMicrosoftベースのハニーポットである。この計画は単に何かを得ようと始めたことである。
10月31日、システムがインストールされ、共有が開始され、インターネットに接続された。我々はじっと待つことにしたが、そう長く待つことはなかった。

The First Worm 
24時間と経たないうちに初めての訪問者が訪れた。 216.191.92.10(Host-010.hsf.on.ca)がネットワーク上でWindowsシステムをス キャンしていた。我々を見つけて問い合わせを始めた。まずシステム名を確認 し、共有を探した。共有可能と判断すると、我々のシステムの特別なバイナリ を探し始めた。目標はワームをインストールするか、自動インストールさせる ことであった。この場合、特別なワームはインストールされなかった。このワー ムは"Win32.Bymer Worm "であった。このワームの目的はCPUを利用し、distributed.netで勝つことであっ た。Distributed.netは遅いマシンでRC5-64 challengeのようなさまざまな挑 戦を行うグループである。挑戦をクラックすれば表彰される。管理下に多くの CPUサイクルがあればあるほど、勝つチャンスが増える。我々のケースでは、誰 かがこのプロジェクトのためにボランティアでワームを仕掛けたようだ。

この個人は(この場合、bymer@inec.kiev.ua)、脆弱なWindowsシ ステムを発見し、自動でdistributed.netのクライアントをシステムにインストー ルするツールを配布した。インストールされ、実行されれば、ワームはCPUを操 作し、クライアントに勝たせるようになっている。ワームは取って代われる脆 弱なシステムを探索する。目標はできるだけ多くのコンピュータとCPUアクセス を得ることだ。このプロセスは指数関数的に侵入できるシステムを増やす。 IDS sniffer snortでネットワーク上で のパケットキャプチャを見てみよう。NetBIOSコントロールの発展した解析には、 フリーのEtherealがよい。sniffer のトレースは以下の通りで、172.16.1.105 がハニーポットである。

ワームはまずシステム内にdnetc.iniがあるかを確認した。これ はdistributed.netクライアントの設定ファイルである。このファイルにより、 誰がCPUサイクルの権限を握っているかが分かる。その人がワームを仕掛けたこ とになる。ここでは誰かがハニーポットに設定ファイルをコピーしたことが分 かる(NetBIOS name GHUNT, account GHUNT, domain HSFOPROV)

11/01-15:29:18.580895 216.191.92.10:2900 -> 172.16.1.105:139 
TCP TTL:112 TOS:0x0 ID:50235  DF 
*****PA* Seq: 0x12930C6   Ack: 0x66B7068   Win: 0x2185 
00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00  ...[.SMB-....... 
00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C  ..............W. 
00 00 82 D1 0F FF 00 00 00 07 00 91 00 16 00 20  ............... 
00 DC 1C 00 3A 10 00 00 00 00 00 00 00 00 00 00  ....:........... 
00 00 00 1A 00 5C 57 49 4E 44 4F 57 53 5C 53 59  .....\WINDOWS\SY 
53 54 45 4D 5C 64 6E 65 74 63 2E 69 6E 69 00     STEM\dnetc.ini.

以下には、実際のファイ ルdnet.iniが移動されていることが分かる。 bymer@inec.kiev.caがコンタクトしている。彼がCPUを牛耳って おり、ワームを仕掛けた人物である。

11/01-15:29:18.729337 216.191.92.10:2900 -> 172.16.1.105:139 
TCP TTL:112 TOS:0x0 ID:50747  DF 
*****PA* Seq: 0x1293125   Ack: 0x66B70AD   Win: 0x2140 
00 00 01 11 FF 53 4D 42 0B 00 00 00 00 00 01 00  .....SMB........ 
00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C  ..............W. 
00 00 02 D2 05 00 00 E1 00 00 00 00 00 E1 00 E4  ................ 
00 01 E1 00 5B 6D 69 73 63 5D 20 0D 0A 70 72 6F  ....[misc] ..pro 
6A 65 63 74 2D 70 72 69 6F 72 69 74 79 3D 4F 47  ject-priority=OG 
52 2C 52 43 35 2C 43 53 43 2C 44 45 53 0D 0A 0D  R,RC5,CSC,DES... 
0A 5B 70 61 72 61 6D 65 74 65 72 73 5D 0D 0A 69  .[parameters]..i 
64 3D 62 79 6D 65 72 40 69 6E 65 63 2E 6B 69 65  d=bymer@inec.kie 
76 2E 75 61 0D 0A 0D 0A 5B 72 63 35 5D 0D 0A 66  v.ua....[rc5]..f 
65 74 63 68 2D 77 6F 72 6B 75 6E 69 74 2D 74 68  etch-workunit-th 
72 65 73 68 6F 6C 64 3D 36 34 0D 0A 72 61 6E 64  reshold=64..rand 
6F 6D 70 72 65 66 69 78 3D 32 31 37 0D 0A 0D 0A  omprefix=217.... 
5B 6F 67 72 5D 0D 0A 66 65 74 63 68 2D 77 6F 72  [ogr]..fetch-wor 
6B 75 6E 69 74 2D 74 68 72 65 73 68 6F 6C 64 3D  kunit-threshold= 
31 36 0D 0A 0D 0A 5B 74 72 69 67 67 65 72 73 5D  16....[triggers] 
0D 0A 72 65 73 74 61 72 74 2D 6F 6E 2D 63 6F 6E  ..restart-on-con 
66 69 67 2D 66 69 6C 65 2D 63 68 61 6E 67 65 3D  fig-file-change= 
79 65 73 0D 0A                                   yes..

次に移動されたファイルは実際の distributed.netクライアントであるdnetc.exeである。これは たくさん実行でき、自然の故意ではない。我々はハニーポット上でMD5シグネチャ でこれを確信した。我々はditributed.netからクライアントをダウンロードし て、dnetc.exeクライアントのハッシュを取った。MD5のハッシュは同一であり (d0fd1f93913af70178bff1a1953f5f7d)、このコードがワームでないことを示し ている。このバイナリはdistributed.netチャレンジにCPUサイクルを使うため のものだ。しかし、そのワームは所有者の許可なしでバイナリを使う事に我々 は注目している。

11/01-15:34:09.044822 216.191.92.10:2900 -> 172.16.1.105:139 
TCP TTL:112 TOS:0x0 ID:33084  DF 
*****PA* Seq: 0x129341A   Ack: 0x66B71C0   Win: 0x202D 
00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00  ...[.SMB-....... 
00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C  ..............W. 
00 00 04 26 0F FF 00 00 00 07 00 91 00 16 00 20  ...&........... 
00 FE 1D 00 3A 10 00 00 00 00 00 00 00 00 00 00  ....:........... 
00 00 00 1A 00 5C 57 49 4E 44 4F 57 53 5C 53 59  .....\WINDOWS\SY 
53 54 45 4D 5C 64 6E 65 74 63 2E 65 78 65 00     STEM\dnetc.exe.

次に我々は実際のワームmsi216.exeが植え込まれたのを確認した。これは自動的に脆弱なシステムを探し、自己増殖する。このワームによって、莫大な量のスキャンを受けた。

11/01-15:37:23.083643 216.191.92.10:2900 -> 172.16.1.105:139 
TCP TTL:112 TOS:0x0 ID:40765  DF 
*****PA* Seq: 0x12C146A   Ack: 0x66C248B   Win: 0x20B2 
00 00 00 5C FF 53 4D 42 2D 00 00 00 00 00 01 00  ...\.SMB-....... 
00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C  ..............W. 
00 00 02 F3 0F FF 00 00 00 07 00 91 00 16 00 20  ............... 
00 C0 1E 00 3A 10 00 00 00 00 00 00 00 00 00 00  ....:........... 
00 00 00 1B 00 5C 57 49 4E 44 4F 57 53 5C 53 59  .....\WINDOWS\SY 
53 54 45 4D 5C 6D 73 69 32 31 36 2E 65 78 65 00  STEM\msi216.exe.

最後に、ワームは新しいwin.iniファ イルをアップロードした。ワームをリブートするためにシステムを実行させた のだ。Win98でリモートコントロールすることは難しいのだが、そのワームの目 的は実行を得ることであった。c:/windows/win.iniをリブート することでワームをブート中に読み込むのである。新し いwin.iniファイルは我々の侵されたシステムに置かれた。

11/01-15:38:55.352810 216.191.92.10:2900 -> 172.16.1.105:139 
TCP TTL:112 TOS:0x0 ID:1342  DF 
******A* Seq: 0x12C6F55   Ack: 0x66C95FC   Win: 0x1FBF 
00 00 0B 68 FF 53 4D 42 1D 00 00 00 00 00 01 00  ...h.SMB........ 
00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C  ..............W. 
00 00 02 F9 0C 0D 00 61 19 00 00 00 00 00 00 00  .......a........ 
00 00 00 00 00 00 00 00 00 2C 0B 3C 00 2D 0B 00  .........,.<.-.. 
5B 77 69 6E 64 6F 77 73 5D 0D 0A 6C 6F 61 64 3D  [windows]..load= 
63 3A 5C 77 69 6E 64 6F 77 73 5C 73 79 73 74 65  c:\windows\syste 
6D 5C 6D 73 69 32 31 36 2E 65 78 65 0D 0A 72 75  m\msi216.exe..ru 
6E 3D 0D 0A 4E 75 6C 6C 50 6F 72 74 3D 4E 6F 6E  n=..NullPort=Non 
65 0D 0A 0D 0A 5B 44 65 73 6B 74 6F 70 5D 0D 0A  e....[Desktop].. 
57 61 6C 6C 70 61 70 65 72 3D 28 4E 6F 6E 65 29  Wallpaper=(None) 
0D 0A 54 69 6C 65 57 61 6C 6C 70 61 70 65 72 3D  ..TileWallpaper= 
31 0D 0A 57 61 6C 6C 70 61 70 65 72 53 74 79 6C  1..WallpaperStyl 
65 3D 30 0D 0A 0D 0A 5B 69 6E 74 6C 5D 0D 0A 69  e=0....[intl]..i

以上である。今もハニーポットは感染している。シ ステムをリブートすればワームが効き始める。効き始めれば、何かが起きる。

  1. distributed.netクライアントが開始され、CPUサイクルがコンテストに使われる。
  2. ワームは他の脆弱なシステムを探し、自動増殖する。これがUDP137とTCP139のスキャンである。
  3. ワームは次のレジストリキーを追加するであろう。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Bymer.scanner HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Bymer.scanner

リブートを待つことは実行するのに信頼が置けない。このターゲットはWindowsのデスクトップであるが、どれだけリブートするものであろうか?

The Second Worm 
忙しい週である。2番目のワームが次の日にやってきた。このワームは最 初のと似たような目的のもので、distributed.netのコンテストのためにCPUサ イクルをコントロールするためのものだ。違っているといえば、すべてのファ イルがwininit.exeのひとつに一体化されているという点だ。 Windows98はデフォルトでc:/windows/wininit.exeがインストー ルされている。このワームは隠れながら、自身 をc:/windows/wininit.exeにインストールする。もし誰かがこ のバイナリにアクセスしようとしたら、これはOS の一部でワームでないと思っ てよい。これはクラッカー社会ではありふれたことである。実行されれば、最 初のワームと同じように働く。以下はハニーポットでの2番目のワーム wininit.exeの結果である。リモートシステムのNetBIOS 名はWINDOW、アカウン ト名はWINDOW、ドメイン名はLVCWである。

11/02-21:41:17.287743 216.234.204.69:2021 -> 172.16.1.105:139 
TCP TTL:113 TOS:0x0 ID:38619  DF 
*****PA* Seq: 0x21CC0AC   Ack: 0xCE6736B   Win: 0x2185 
00 00 00 5D FF 53 4D 42 2D 00 00 00 00 00 01 00  ...].SMB-....... 
00 00 00 00 00 00 00 00 00 00 00 00 00 D0 4F 1F  ..............O. 
00 00 84 EE 0F FF 00 00 00 07 00 91 00 16 00 20  ............... 
00 20 BB 01 3A 10 00 00 00 00 00 00 00 00 00 00  . ..:........... 
00 00 00 1C 00 5C 57 49 4E 44 4F 57 53 5C 53 59  .....\WINDOWS\SY 
53 54 45 4D 5C 77 69 6E 69 6E 69 74 2E 65 78 65  STEM\wininit.exe 
00

ワームが自動インストールされたら、リモートで win.iniを書き換え、リブート時に実行されるようにする。最初のワームによっ て書き換えられたc:/windows/win.iniを見てみよう。

11/02-21:41:48.538643 216.234.204.69:2021 -> 172.16.1.105:139 
TCP TTL:113 TOS:0x0 ID:21212  DF 
******A* Seq: 0x22021C9   Ack: 0xCE68EC7   Win: 0x1FA3 
00 00 0B 68 FF 53 4D 42 1D 00 00 00 00 00 01 00  ...h.SMB........ 
00 00 00 00 00 00 00 00 00 00 00 00 00 D0 4F 1F  ..............O. 
00 00 84 F4 0C 0F 00 7F 19 00 00 00 00 00 00 00  ................ 
00 00 00 00 00 00 00 00 00 2C 0B 3C 00 2D 0B 00  .........,.<.-.. 
5B 77 69 6E 64 6F 77 73 5D 0D 0A 6C 6F 61 64 3D  [windows]..load= 
63 3A 5C 77 69 6E 64 6F 77 73 5C 73 79 73 74 65  c:\windows\syste 
6D 5C 77 69 6E 69 6E 69 74 2E 65 78 65 20 63 3A  m\wininit.exe c: 
5C 77 69 6E 64 6F 77 73 5C 73 79 73 74 65 6D 5C  \windows\system\ 
6D 73 69 32 31 36 2E 65 78 65 0D 0A 72 75 6E 3D  msi216.exe..run= 
0D 0A 4E 75 6C 6C 50 6F 72 74 3D 4E 6F 6E 65 0D  ..NullPort=None. 
0A 0D 0A 5B 44 65 73 6B 74 6F 70 5D 0D 0A 57 61  ...[Desktop]..Wa

リブートすると、このワームは前のと同じように同じプロセスを開始する。気に止めておいてほしいのは、我々を攻撃しているリモートの人物は、クラッカー社会ではそんなに悪いことはやっていない。侵入者はリモートでの罪のない傍観者なのである。所有者はワームが自分のシステムで走っていることも知らないし、踏み台にされてインターネット上の他の脆弱システムへのスキャンや侵入をしていることも知らない。たとえダイヤルアップ接続でもこのような攻撃の危険性がある。これは他の侵されたシステムから仕掛けられた戦争なのである。我々のハニーポットのように、踏み台にしているのである。

The Day After 
次の日、違った種類のワームがハニーポットに侵入した。共有を探し、見 つければ、同じようなワームがインストールされているかを確認した。この日 のケースは、ワームは既にインストールされていたので、リモートの侵入者は 去っていった。最初のはwininit.exeがインストールされている か、後日の別のはmsi216.exeがインストールされているかを確認した。

11/03-04:42:11.596636 210.111.145.180:2341 -> 172.16.1.105:139 
TCP TTL:115 TOS:0x0 ID:12574  DF 
*****PA* Seq: 0x2345C04   Ack: 0xE65CC94   Win: 0x2171 
00 00 00 5D FF 53 4D 42 2D 00 00 00 00 00 01 00  ...].SMB-....... 
00 00 00 00 00 00 00 00 00 00 00 00 00 D8 B5 1D  ................ 
00 00 81 3E 0F FF 00 00 00 07 00 91 00 16 00 20  ...>........... 
00 3A 26 02 3A 10 00 00 00 00 00 00 00 00 00 00  .:&.:........... 
00 00 00 1C 00 5C 57 49 4E 44 4F 57 53 5C 53 59  .....\WINDOWS\SY 
53 54 45 4D 5C 77 69 6E 69 6E 69 74 2E 65 78 65  STEM\wininit.exe 
00                                               .

リモートシステムのNetBIOS名はMATTHEW、アカウントはMPYLE、ドメイン名はMPYLEである。

11/03-16:39:38.723572 216.23.6.24:3946 -> 172.16.1.105:139 
TCP TTL:113 TOS:0x0 ID:3309  DF 
*****PA* Seq: 0x1A7105F   Ack: 0x10F8C0F2   Win: 0x2159 
00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00  ...[.SMB-....... 
00 00 00 00 00 00 00 00 00 00 00 00 00 E0 AD 20  ............... 
00 00 81 D9 0F FF 00 00 00 07 00 91 00 16 00 20  ............... 
00 14 CE 02 3A 10 00 00 00 00 00 00 00 00 00 00  ....:........... 
00 00 00 1A 00 5C 57 49 4E 44 4F 57 53 5C 53 59  .....\WINDOWS\SY 
53 54 45 4D 5C 64 6E 65 74 63 2E 69 6E 69 00     STEM\dnetc.ini.

次の日の11月4日に面白いことが始まった。最初に 207.224.254.206(dialupF206.sttl.uswest.net,NetBIOS名SOCCERDOG、アカウン ト名SCOTT、ドメイン名RONS)がハニーポット内にdnetc.iniまイ ンストールされていないかを確認した。インストール済を確認して去っていっ た。3日のうちに5つのシステムがワームを探して探索をかけてきた。後日、 ハニーポットはbymer.boom.ruとhttp接続を始めた。この接続はワームによって マスターサーバをアップデートさせるものであった。このbymer.boom.ruシステ ムは一時期ワームを操作するマスターであった。しかし、今ではRFC1918のIPで は192.168.0.1 で解決されている。ドメインオーナーがワームをストップさせ た。また、この手のワームを実行させるには、システムを再起動させなければ ならない。我々に理解できなかったのは、どうやってリブートさせるかであっ た。Windowsベースのハニーポットの限られた情報の理由の一つには、ログがな いことである。以下がワームサーバへのハニーポットの接続である。

11/04-23:56:38.855453 172.16.1.105:1027 -> 192.168.0.1:80 
TCP TTL:127 TOS:0x0 ID:65300  DF 
**S***** Seq: 0x17AF8D9A   Ack: 0x0   Win: 0x2000 
TCP Options => MSS: 1460 NOP NOP SackOK

直ちにdnetc.exeクライアントは distributed.net サーバに接続し、データを移送し始めた。これは distributed.netの機能の一部であり、ワームの機能のすべてである。しかし、 これが(CPUを焼き付け、結果をdistributed.netにアップロードする)ワームの 最終目標であった。

11/04-23:56:40.286898 172.16.1.105:1029 -> 204.152.186.139:2064 
TCP TTL:127 TOS:0x0 ID:1301  DF 
*****PA* Seq: 0x17AF8F47   Ack: 0xBE445ED3   Win: 0x2238 
AE 23 E2 77 F6 42 91 51 3E 61 3F EE 86 7F EE 8B  .#.w.B.Q>a?..... 
CE 9E 9D 28 16 BD 4B C5 5E DB FA 62 A6 FA A8 FF  ...(..K.^..b.... 
EF 19 57 9C 37 38 06 39 7F 56 B4 D6 C7 75 63 73  ..W.78.9.V...ucs 
0F 94 12 10 57 B2 C0 AD 9F D1 6F 4A E7 F0 1D E7  ....W.....oJ.... 
30 0E CC 84 78 2D 7B 21 C0 4C 29 BE 08 6A D8 5B  0...x-{!.L)..j.[ 
50 89 86 F8 98 A8 35 95 E0 C6 E4 32 28 E5 92 CF  P.....5....2(... 
71 04 41 6C B9 22 F0 09 01 41 9E A6 49 60 4D 43  q.Al."...A..I`MC 
91 7E FB E0 D9 9D AA 7D 21 BC 59 1A 69 DB 07 B7  .~.....}!.Y.i... 
B1 F9 B6 54 FA 18 64 F1 42 37 13 8E 8A 55 C2 2B  ...T..d.B7...U.+ 
CF 32 45 19 1A 93 1F 65 62 B1 CE 02 AA D0 7C 9E  .2E....eb.....|. 
C5 46 78 29 F0 13 97 04                          .Fx)....

アップロードが完了したら、ワームは速い速度で 侵入し、繁殖するためにインターネット上の他の脆弱なシステムを探し始める。 ランダムにIPアドレスを選び、ポート137と139をスキャンする。ワームは我々 のハニーポットのような脆弱なシステムを特定し、リモートから複製をする。 侵されたシステムは見たところ、スキャンされる回数が多い。ハニーポットは 悪意あるトラフィックをブロックするように設計されているため、これらの (ハニーポットを基点とした)スキャンはインターネットに届かない。ハニー ネットは一種のゴキブリホイホイなのである。悪い奴が入ったら、外には出さ ない。以下にワームが他の脆弱システムを探る様子を載せる。

11/04-23:58:05.946299 172.16.1.105:137 -> 39.202.248.187:137 
UDP TTL:127 TOS:0x0 ID:30485 
Len: 58 
0E 94 00 10 00 01 00 00 00 00 00 00 20 43 4B 41  ............ CKA 
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA 
41 41 41 41 41 41 41 41 41 41 41 41 41 00 00 21  AAAAAAAAAAAAA..! 
00 01

おもしろいと思ったことの1つに、 c:/windows/win.iniwininit.exeワーム当たり に再び書き換えられていたことだ。そのワームはmsi216.exeを スタートアップから消去した。また、dnetc.iniも再び書き換え られ、メールアドレスがbymer@inec.kiev.uaか らbymer@ukrpost.netに変わっていた。このことは、2番目のワー ムが最初のワームの設定ファイルを消去することで除外したことを意味してい る。これは、ワームの世界では極端に競争が激しいことを意味している。もっ ともこれはCPUサイクルの話であるが。

データをレビューしたければ、win98.tar.gzをダ ウンロードするとよい。4日間のsnortバイナリとハニーポット上での wininit.exe及びmsi216.exeを含むワームバイナ リが入っている。これらは出回っているものなので、悪意をもって使うことも できる。使用には細心の注意を払われたい。ワームが欲しくなければ、win98-wo.tar.gz をダウンロードするとよい。これには先の2つのワームは含まれていない。

Conclusion 
我々は4日間にわたりWindows98システムがいく つかのワームに侵される状況をカバーしてきた。これらのワームは自動的に脆 弱なシステムを探索し、指数関数的に自己増殖していく。このようなスキャン はNetBIOSの脆弱性に対してよくあることである。このことはすべてのNetBIOS スキャンがワームにより自動的に行われるというわけではない。また、すべて のワームがdistributed.netの提供というわけでもない。このワームがあなたの システムの機密情報を探っていることを考えてもらいたい。ワームは finance,confidential,secretそしてSSNという単語を簡単に探すことができる。 一度見つかれば、それらのドキュメントは匿名e-mail,IRCチャンネル、または 侵入されたwebサーバに転送される。攻撃はクラッカー社会の機転に限って起こ るものなのである。

Acknowledgements 
Honeynet projectに加え、この結果には2人のキーパーソンがいる。H Carvey  とRyan Russellである。彼らが有事 の技術的な記録者であった。これらのさらなる情報は、 distributed.net と CERTのアドバイザリを参照されたい。 


The Honeynet Project

Comments