今回は「ELF_PORTSCAN.A」と「ELF_SSHSCAN.A」の2つの不正プログラムを取り上げる。これらの不正プログラムはLinuxシステム上で動作するトロイの木馬に分類される不正プログラムであるが,実際にはトロイの木馬というより悪意のある第三者によるハッキング行為に利用されるツールである。実際の攻撃事例では,この2つの不正プログラムが同時に使われることが多いため,同時に取り上げた。これらのツールがどのように攻撃対象を特定し実際の攻撃を行うのかを検証したい。
なお,接頭語のELFは「Executable and Linking Format」の略であり,Red HatをはじめとするLinuxディストリビューションの多くで採用されている実行形式のファイル(WindowsのEXEファイルに相当)である(図1)。
図1●ELFファイルをhexdumpで表示した画面
[画像のクリックで拡大表示]
ELFに不正なコードが含まれている場合,トレンドマイクロ製品では「ELF_xxxxxx」のように接頭語を“ELF”としてウイルス検出している。トレンドマイクロのウイルス・パターンファイルへのシグネチャ登録数を見ても「ELF_」から始まる不正プログラムの登録数は,2008年12月1日時点の総数338089種のうち458種と非常に少なく,2006年10月以降増加傾向も見られない(図2)。
図2●「ELF_」で始まる不正プログラムの登録数推移(2005年1月~2008年12月)
一方で,2005年に発見されたこの不正プログラムの感染数はトレンドマイクロのウイルス感染レポートにおいて,2008年1年間で見ても月に数件は報告され続けている(図3,図4)。このように非常に古い不正プログラムであっても,引き続き悪意のある第三者によって使用され続けているのである。
図3●ELF_PORTSCAN.Aの感染報告数(2008年)
図4●ELF_SSHSCAN.Aの感染報告数(2008年)
