分かりやす〜い コンピュータ技術情報

TOPに戻る
▼Virus
Code REDウィルスとは?
┣ マイクロソフトの説明
┃ とIIS機能
┣ アプリケーションソフ
┃ トは機能の寄集め
┣ 呼出・復帰時に行わ
┃ れる事
┣ 復帰の場所を変え
┃ てみると・・
┣ 感染したCode R
┃ EDは何を行うか
┣ 異常データをサーバ
┃ ーのバッファに格納
┣ プロセッサの保護機
┃ 能
┣ ウィルスの場所を特
┃ 定する
┣ウィルスコードを実
┃ 行する
┣ CodeREDの正体1
┗ CodeREDの正体2

Copyright(C) 2001-2002.ugpop. All rights reserved.




■デジタル用語辞典:

▲このページの上へ

■ 感染したCode REDは何を行うか ■

前回はCode REDウィルスがどのようにして活動開始するのか解
説しました。
呼出し元へ復帰する時にバッファを参照するというインテルプ
ロセッサの仕様を利用して、バッファにウィルスの場所を書き
込み、ウィルスへ復帰させて活動を開始するのでした。

今回は活動を開始してしまったウィルスがどのような事を行な
うのか解説します。

行動を開始したウィルスはマシンの日付をチェックします。
そして日付によって異なる動作を行ないます。
以下に日付によってどのような活動を行うのか示します。

1日〜19日
 他のマシンに対して攻撃を行なう。この時、英語のWEBペー
 ジを持っているマシンのWEBページを書き換える。
 書き換えられたWEBページは以下の様に表示されます。

 HELLO! Welcome to http://www.worm.com!
 Hacked By Chinese!

 また、攻撃を繰り返す為、ネットワークに異常に負荷がかか
 り、最悪、サーバーがダウンする事もある。

20日〜27日
 ホワイトハウスのIPアドレスに対して攻撃を行なう。
 このCode REDウィルスの攻撃を避ける為、現在ではホワイト
 ハウスのIPアドレスは変更されています。

28〜月末
 活動休止

また、日付により活動を変更しない亜種(Code REDII)も存在し
ます。
この亜種の活動も以下に示します。

24時間〜48時間の間、他のマシンに対して攻撃を行う。
WEBページの書き換えは行わないが、感染したマシンに他者が
自由に入れるようにしてしまう。(あるマシンに他者が自由に
入れるようにしてしまう事を、「バックドアを仕掛ける」と言
います。後ろのドアから入れるからバックドアですね。)

さて、「他のマシンに対して攻撃を行う」と書きましたが、具
体的には何を行うのでしょうか?

前回、前々回にバッファオーバーフローの解説を行いましたが、
「攻撃を行う」にはこのバッファオーバーフローを利用するわ
けです。

皆さんはインターネットエクスプローラーなどでWEBページを
見る時、クライアントパソコン(皆さんが使用しているパソコ
ン)からサーバーに対して下のような文字列が送られているの
をご存知でしょうか?

GET / HTTP/1.0

この文字列は、クライアント(依頼者)からサーバー(サービ
スする人)に対して「WEBページを表示して下さい」と要求を
出す為の文字列です。


┌──────┐ WEBページ見せて ┌─────┐
│クライアント├────────→│サ−バ− │
│パソコン  │ GET / HTTP/1.0 │     │
└──────┘         └─────┘
IE等でWEBページ         YAHOO等のWEBページを作成、
を見たい人           管理している会社や個人


上記の文字列を受け取ると、サーバーは要求に従いWEBページ
の表示を開始します。

┌──────┐  WEBページ表示 ┌─────┐
│クライアント│←────────┤サ−バ− │
│パソコン  │         │     │
└──────┘         └─────┘
IE等でWEBページ         YAHOO等のWEBページを作成、
を見たい人           管理している会社や個人



さて、この「GET / HTTP/1.0」なのですが、文字数にすると
20文字にも充ちません。GETで使用される文字数はそれほど
多くなくても事足りてしまうのです。
言い換えると、GETを処理する為に使用される「バッファ」は
少なくても大丈夫というわけです。

Code REDウィルスもこれと同じように文字列を送って他のマシ
ンに対して攻撃を行います。
それではCode REDウィルスが攻撃時に使用する文字列を見てみ
ましょう。

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

何文字あるでしょうか?(暇な人は数えてみて下さい。(^-^))
凄く長いですよね。
わざとバッファオーバーフローを発生させる為に長い文字列を
送っているのです。

次回はこの文字列を受け取ったサーバーがどのような動きをす
るか解説します。



←前へ戻る    ▲このページの上へ    続きを読む→