パスワードを忘れた? アカウント作成
3911748 story
ボットネット

FlamerのC&Cサーバーがアンインストールコマンドを送信していた 29

ストーリー by headless
自動的に消滅する 部門より
マルウェア「Flamer (Flame)」のC&Cサーバーが、感染したコンピューターにFlamerをアンインストールするコマンドを送信していたそうだ(Symantec Connect Communityのブログ記事BBC Newsの記事本家/.)。

この動きはシマンテックのハニーポットが検出したもので、C&Cサーバーは「browse32.ocx」という名前のファイルを感染したコンピューターに送信。このモジュールが感染したコンピューターからFlamerをアンインストールし、関連するファイルをすべて削除する。最後にディスクの空き領域をランダムデータで上書きしてFlamerの痕跡をすべて消去するという。これまでの分析でFlamerにはbrowse32.ocxと同様の機能を持つ「SUICIDE」というモジュールが含まれることが明らかになっているが、新たなモジュールを使用した理由は不明とのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by s02222 (20350) on 2012年06月10日 14時20分 (#2170581)
    我々の知らないところで繰り広げられてる光と闇のバトルっ!!
  • by Wingard (37819) on 2012年06月10日 15時15分 (#2170590)

    感染→個人情報ゲット的な何かを実行→痕跡消去

    ってのをやっただけなんじゃないのって思ったんですが、
    このFlamerってそういう何かをするマルウェアなんですかね

  • by Anonymous Coward on 2012年06月10日 13時37分 (#2170575)

    「これでみんなもスパイ気分になれるね」

  • by Anonymous Coward on 2012年06月10日 14時10分 (#2170579)

    Computers & Communications ?

    • by Anonymous Coward on 2012年06月10日 15時01分 (#2170588)

      マジレスするとCommand & Control

      http://en.wikipedia.org/wiki/Botnet [wikipedia.org]
      >This server is known as the command-and-control server ("C&C").

      親コメント
      • by Anonymous Coward
        要するにただの管理サーバーですよね?

        > マルウェア「Flamer (Flame)」のC&Cサーバーが、感染したコンピューター
        > にFlamerをアンインストールするコマンドを送信していたそうだ

        このサーバーが全クライアントを把握してることはないと思うのですが、
        サーバー側からコマンドを送信(Push)することは可能なんでしょうか?
        • by JULY (38066) on 2012年06月10日 16時15分 (#2170607)

          仕組みは簡単で、クライアント側から C&C サーバに接続して、コマンドが送られてくるのを待つんです。世界各国に散らばったエージェントが、ボスのところへ電話をかけて、命令を待つ、みたいな。

          一般的に感染しているコンピュータに、インターネット側から接続をする事は容易ではないですが、感染したコンピュータから、あらかじめ指定されたインターネット側のサーバに接続するのは簡単です。それも、HTTPS の 443 番ポートあたりを利用すると、間に Proxy があっても、CONNECT メソッドでつながってしまえば、任意の通信が可能になります。つながってしまえば、

          クライアント:「ボス、着きました。」
          サーバ:「やれ」

          見たいな感じで、サーバ側からクライアント側のプログラムに指示を出す事ができます。

          親コメント
          • by Anonymous Coward
            だからそれはPushじゃないでしょ?って言いたかったんですが。
            • by taka2 (14791) on 2012年06月11日 3時12分 (#2170735) ホームページ 日記

              送信-受信というデータの流れと、Push/Pullという通信モデルは、独立した話なんだから、元コメの「送信(Push)する」という言葉自体が変なの。
              勝手にPushって言葉を持ち出して「それはPushじゃないでしょ」と言うのがおかしい。

              Pushモデルは、データの送信側(サーバ側)が受信側に接続するもの。ネットワーク的に負荷(無駄)が少なく、また送信すべきデータが発生してからデータ送信までのタイムラグが少ないのがメリットだが、サーバ側の管理負荷が大きいのがデメリット。

              Pullモデルは、データの受信側が適宜送信側に問い合わせるもの。送信すべきデータが無いのにアクセスする場合があるのでネットワーク負荷が重いし、送信すべきデータが発生しても問い合わせが来るまでは送信されないのでそれなりなタイムラグが発生するのがデメリット。その代わり、サーバ側の管理負荷は軽い。

              Pullモデルで実装されたクライアント(感染したbot)からの問い合わせに対し、C&Cサーバはコマンドを送信している、という処理の流れであって、「サーバ側からコマンドを送信している」ということには何の間違いもない。

              親コメント
              • by Anonymous Coward

                そもそも元のブログ(英語版)は「shipping a file」 ってなってますからね…。
                勝手にpushに再翻訳してそれは違うと騒ぐとか滑稽の極み。

        • W32.Flamer Technical Details | Symantec [symantec.com]

          W32.Flamer is a worm that has the ability to spread from one computer to another. However, the worm does not automatically spread, but instead it waits for instructions from the attackers. If required, it can spread using the following methods:

          W32.Flamer has built-in modules to gather information from compromised computers,,,

          W32.Flamer は感染コンピュータの情報を収集し C&C サーバー(攻撃者)側に返

    • Command & Conquer

      ではないな...

      --
      M-FalconSky (暑いか寒い)
      親コメント
      • by Anonymous Coward

        >Command & Conquer
        やべぇ久々にRenegadeしたくなった
        #Black-cell.netからメールきてたし

        • by Anonymous Coward

          ふむ。何年ぶりかでRenegade聞いてみようか。
          忘れられた天才の一人、Tommyちゃん。

          Ohh, Mama im in fear 4 my life from the loong aarm of the law ...

    • by YO1201 (17300) on 2012年06月10日 18時08分 (#2170642)

      Click & Create [impress.co.jp]

      ではないですね。

      親コメント
    • Re: (スコア:0, オフトピック)

      by Anonymous Coward

      カレーショップ。
      東京の人にしかわからないネタかな?

  • by Anonymous Coward on 2012年06月10日 16時36分 (#2170614)

    >最後にディスクの空き領域をランダムデータで上書きしてFlamerの痕跡をすべて消去するという。

    • by Anonymous Coward

      空き領域にランダムデータ書き込んでもディレクトリエントリが残るんじゃないのかな

      • by Anonymous Coward

        NTFSならジャーナルも残ってるよね。自分のを追い出すためにたくさん書き込むのかな?

      • by Anonymous Coward

        なのでダミーのファイル名にリネームした後削除するコードを書いたことがあります。

  • by Anonymous Coward on 2012年06月10日 17時48分 (#2170635)

    Windowsではロード中のバイナリはがっちりロックされるので「自殺」は簡単ではないと思うのですけれども、このFlamerさんはどうやったんでしょうかね。

    • Re:自分を消す方法 (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2012年06月10日 18時23分 (#2170646)

      そうだ!あの親切なイルカさんに教えてもらお・・・あー、もうアイツはいないんだっけか・・・

      親コメント
      • by Anonymous Coward

        こういうことがあるから、イルカ漁に反対する人たちが出てくるわけですね。

    • by Anonymous Coward

      スクリプトエンジンにお願いするとか? そのての知識は皆無ですが。

      --- SUISIDE.vbs ---
      Set fso = CreateObject("Scripting.FileSystemObject")
      fso.DeleteFile "SUICIDE.vbs"
      -------------------

      • by Anonymous Coward

        昔から、バッチファイルで削除する(バッチファイル自身も含め)、という手が使われますね。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...