セキュリティ組織である米SANS Institute(System Administration Networking and Security Institute)は米国時間4月4日,「Adore」と呼ばれるワーム *1 を警告した。対象となるのはLinux上でセキュリティ・ホールがある「LPRng」,「rpc-statd」,「wu-ftpd」,「BIND」のいずれかのプログラムを動作させている場合。ワームが侵入すると,そのマシンからほかのマシンへ侵入を試みるとともに,バックドア *2 を仕掛ける。加えて,そのマシンのシステム情報などを外部へメールで送信する。SANS Instituteは,バックドアなどが仕掛けられているかどうかをチェックし,ワームを削除するツールを公開している。
4月1日から感染が確認されているAdoreワームは,既に報告されている「Ramen」や「Lion」とよく似ているという。インターネット上のマシンをスキャンし,セキュリティ・ホールがある「LPRng」,「rpc-statd」,「wu-ftpd」,「BIND」のいずれかを動作させているLinuxマシンを見つけると侵入を試みる。
侵入に成功すると,その存在がばれないように,psコマンド *3 を不正なpsコマンドに置き換える。セキュリティ関連のメーリング・リストなどによれば,置き換えられたpsコマンドでは,ワームやワームが仕込むプログラムの情報が表示されないという。
そして,侵入したマシンのパスワード・ファイルや設定ファイル,システム情報などをある特定のメール・アドレスに送信する。さらに,後日そのマシンに外部から侵入できるようにバックドアを仕掛ける。SANS Instituteは,ワームが送信するメール・アドレスを管理するプロバイダにアドレスを無効にするように促している。しかし返事はないという。
さらに,毎日定期的に(1)Adoreワームが起動してほかのマシンへ侵入を試み,(2)その後,そのマシン上の痕跡を消すようにマシンのスケジュール・ファイル(cron)を書き換える---,といった動作をするという。
今回対象となった「LPRng」,「rpc-statd」,「wu-ftpd」,「BIND」のセキュリティ・ホールは,頻繁にクラッキングに利用されており何度も警告されている。管理者は,(1)パッチを適用する,(2)サービスを停止する---などの対策をとらなければならない。また,SANS Instituteは「adorefinder」というツールを公開している。このツールを使えば,Adoreワームが仕掛けたバックドアなどをチェックし削除できる。
*1 ネットワークを介して他のマシンへ自分自身をコピーして,自己増殖する不正なプログラムのこと。ウイルスの一種とみなす場合もある。
*2 侵入者が再度侵入するために仕掛ける「裏口」のこと。
*3 現在実行中のプロセスに関する情報を表示するコマンド。
[米SANS Instituteが公開している情報]
[米SANS Instituteが公開しているツール(adorefind-0.2.0.tar.gz)]
[関連記事:「Linuxを狙って自己増殖する『ラーメン』ワームに注意」]
[関連記事:「FBIが「Lion」ワームを警告」]
