distributed.net warnings

「トロイの木馬」「ワーム」「ウイルス」

　悪意のある人間というのは、いつどこの世界にもいるものです。彼らはdistributed.netのクライアントを全てのコンピュータで「所有者の許可無しに」稼動させることこそインターネットの楽しみだ、と思っているようです。 distributed.netでは、これらの行為に難色を示し、積極的に彼らを追跡しています。我々のソフトウェアをこのように無断稼動させることは利用規約で固く禁じており、また活動目的にも反します。

　現在、いくつかの「トロイの木馬」が蔓延していることを確認しています。最近出回っている亜種の多くは、インターネット上で無作為に接続を試み、リモートで感染できるような防御力の弱いコンピュータを探します。この新しい感染手段によって、ユーザが明示的にプログラムを起動しなくとも、トロイの木馬の潜伏を許してしまいます。これらのコンピュータ（とりわけWin9xマシン）は、オペレーティングシステム特有の弱さによって感染を許すわけではなく、ユーザがハードディスク全体に対して共有設定を行い、誰でも書き込みが可能なようにアクセス権を設定しているという、ありがちなミスによって引き起こされている問題です。これは玄関のドアを施錠していないのも同然です。

　なお、確かにワームはDNETC.EXEと（違う電子メールアドレスで設定されている）DNETC.INIをコピーしますが、コンピュータ上でそれらをみつけたとしても、それはマシンの所有者が意図的にインストールした正規のものであるかもしれません。ですから、これらのファイル名を見つけたからといって盲目的に全てを削除するべきではありません。

「distributed.netについて」（米シマンテック社）

コンピュータの防御、および修復

　あなたのマシンを感染から守るために取るべき手段は数多くあり、その状態を維持することが肝心です。新たに出現する亜種ワームの多くは、書き込み可能なファイル共有へと自らをコピーしますので、絶対的な必要性のないフォルダ共有を作成するべきではありません。共有フォルダは基本的に読み取り専用に設定すべきですが、フルコントロールの共有を指定した場合、他のユーザに変更や削除を許してしまいます。また、フォルダを共有する場合は、特定のフォルダのみ共有するよう心がけ、ハードディスク全体やサブディレクトリツリー全体を共有することは避けるべきです。

　Distributed.netでは、我々のクライアントソフトを不正に蔓延させるよう仕向けるワームの一つを駆除するユーティリティ「WORMFREE」を用意しました。これを使うことにより、既知のワームとその亜種が感染したことを示すサインを察知し、その除去を可能としますが、同時にウイルススキャンソフトをダウンロードしインストールすることも強くお勧めします。これは、同様の増殖手法を用いる他のワームやウイルスに対しても無防備であった可能性が高いためです。最新バージョンの WORMFREE ユーティリティはこちらからダウンロードできます。これにはソースコードも全て含まれています。

米コンピュータ・アソシエイツ社無料ウィルススキャナ「InnoculateIt Personal」 (除去と防御)　（訳注：日本語版にPersonal Editionはありません）
MooSoft トロイの木馬検出・除去「The Cleaner」 (除去)
米シマンテック社 How to configure shared Windows folders for maximum network protection - Windowsにおける共有フォルダの設定と、最大限のネットワーク防御 (防御)
Zone Labs 「Zone Alarm personal firewall」 (防御)
Gibson Research 脆弱性チェッカ「Shield's Up」 (防御)

判明している亜種

[2000/09]　ファイル共有を利用してWin9xマシンに感染するEXEベースのワーム（W32/Msinit, Trojan.Win32.Bymer, W32.HLLW.Bymer, Dnet.Dropperという名前でも知られている）が発見されています。このワームは、ランダムなIPアドレスへ手当たり次第に接続し、そのマシン上の「C」共有フォルダへの感染を試みます。その共有フォルダへの接続が成功した場合、リモートマシン上の "¥WINDOWS¥スタートメニュー¥プログラム¥スタートアップ¥" や "¥WINDOWS¥SYSTEM¥" ディレクトリにいくつかのファイルをコピーします:
- MSxxx.EXE 〜22016 バイト (ファイル名やサイズは若干変化します)
- MSCLIENT.EXE 4096 バイト
- INFO.DLL (感染した他のコンピュータのテキストログファイル)
- DNETC.EXE 186188 バイト (公式リリースバージョン v2.8010-463-CTR-00071214)
- DNETC.INI (電子メールアドレスに「bymer@inec.kiev.ua」や「bymer@ukrpost.net」が設定されている)
　また、MSxxx.EXEというファイルは状況によって若干変化し、コンピュータのIPアドレスの先頭に2,3個余分な文字が加わった形になります。例えば以下のようなファイル名になります:「MS216.EXE」「MSI216.EXE」「MSI211.EXE」　ファイルサイズも若干変化しますが、常に約22KBです。

　加えて、感染する際に以下の1行をリモートコンピュータ上の「¥WINDOWS¥WIN.INI」ファイルへ追加します: load=c:¥windows¥system¥msxxx.exe (ファイルネームは変化します)

　2つのEXEファイルのうち、どちらかが一度起動されると、「HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥RunServices¥」レジストリキーに以下の値が追加されます。 MSINIT=c:¥windows¥system¥msxxx.exe (ファイルネームは変化します)

　ワームは「dnetc.exe -hide -install」として、 dnetcクライアントを自動起動するように設定するため、他のレジストリキーへもそのように追加します。なお前述の通り、これに関するレジストリの変化はワームによって不正なインストールが行われたためとは限らず、マシンの所有者による正当なインストールである可能性もあります。
- （訳注：2000/10/29現在日本語版のある上記リンクは以下の通りです）
- 日本ネットワークアソシエイツ(株) (McAfee) W32/Msinit
- (株)シマンテック W32.HLLW.Bymer
[2000/10]　上記の亜種であるEXEワームも発見されました。 WININIT.EXEという名前のファイル（サイズ約220KB）を「WINDOWS¥SYSTEM」ディレクトリに格納する以外は前項のワームと同じ手口が用いられています。ワームの機能も上記と全く同じですが、サイズがわずかに異なります。この差は、Wininit.exeはdnetcクライアントをも含みますが、 Msinit.exeは自身にクライアントを含まないために生じます。 DNETC.EXEとDNETC.INIもWINDOWS¥SYSTEMディレクトリに格納され、このクライアントには電子メールアドレスに「ogr@gala.net」「mereel@gmx.de」「mama@papa.net」「gentleps@muohio.edu」「postmaster@127.0.0.1」が設定されています。
- 注：アンチウィルス製品では、しばしばこのワームを「Win32.Bymer」や「W32.HLLW.Bymer」の亜種として認識します。
[2000/08]　また、他のEXEワーム（W32.HLLW.QAZ.A, QAZ.Trojan, Trojan/Notepad, note.comという名前でも知られています)では、 WindowsのNOTEPAD.EXEをNOTE.COMという名前に変更し、オリジナルの「メモ帳」をトロイの木馬実行ファイルへと置き換えてしまうものがあります。一度実行されると、 Windowsの「ネットワークコンピュータ」にあるマシンに対し、自分自身のコピーを試みます。このワームには感染したマシンをリモートでコントロールするための機能が含まれており、ハッカーはマシン上にある全てのファイルへ直接アクセスできるようになってしまいます。このワームのいくつかの亜種では、 distributed.netのdnetc.exeクライアントのコピーを一斉にインストールすることが確認されています。
（訳注：2000/10/29現在日本語版のある上記リンクは以下の通りです）
- 日本ネットワークアソシエイツ(株) (McAfee) W32/QAZ.worm
- (株)シマンテック W32.HLLW.Qaz.A
[2000/04]　「VBS.Network」や「VBS.NetLog」と呼ばれる種類のウィルスが、バージョン2.8005.455や2.8007.45xのdnetc.exeを含んだ形で流通しています。このウィルス（ワーム）は、「network.vbs」という名前で存在し、 Windowsの「スタートアップ」グループへ「microsoft_office.lnk」を登録し、 Cドライブのルートディレクトリに「network.log」を作成します。 dnetc.exeとdnetc.iniのコピーは c:¥windows¥ ディレクトリに作成され、これはメールアドレスに「bl4ckr0d@hotmail.com」や「jdefoe@linuxstart.com」や「nugget@slacker.com」が設定されています。

　このワームは適当なIPアドレスへランダムに接続し、「C」と言う名前の共有フォルダを開こうとし、感染したファイルをスタートアップグループへ直接コピーすることにより繁殖します。ディスク全体の共有に対し、パスワードなしでの書き込み権を与えないようにすることにより、ユーザーはこれらの感染を防ぐことが出来ます。
（訳注：2000/10/29現在日本語版のある上記リンクは以下の通りです）
- 日本ネットワークアソシエイツ(株) (McAfee) VBS/NetLog.worm.c
- (株)シマンテック VBS.Network
[2000/06]　LiteStep用のデスクトップテーマとして、 StarCraftの「Zerg」に似せたスタイルのテーマが「installtheme.exe」というファイル名で複数のwebサイトに流通しています。このテーマをインストールすると、 distributed.netのクライアントも一緒にインストールしてしまいます。
[1998/05]　X-filesニュースグループのUsenetで出回ったという噂もあります。これはGillian Andersonの写真を使ったパズルと共にrc5desg.exeとiniファイルをインストールするというもので、1998年5月と6月の2回に渡って投稿されたらしいのです。

　これについてを「噂」とする理由は、投稿から時間が経ってしまい、存在を確認することが出来なかったためです。
　バージョン2.6403のwin32guiクライアントが「ipspoof.zip」という名前のzipファイルに含まれ、 ipspoof.dat・ipspoof.dll・ipspoof.exe・readme!.txtと共に配布されていることも判っています。このシンプルなexeインストーラは、 ¥windows¥system¥rc564gui.exeと設定ファイルをインストールした後にhiddenモードで動作を開始させ、「fbicrasher@hotmail.com」のためにブロックを計算し送信します。これは1997年12月頃から出回っているようです。
　「mycollection.exe」と呼ばれているものもあります。ポルノ画像のビューアとして配布されていると思われます。これはIRCロボットとして、あるチャンネルに接続した際に増殖し、クライアントのためのdccを送ります。

　このトロイの木馬はrc5desg.exeのインストーラとiniファイルから構成されており、 windows/systemディレクトリへ展開した後にhiddenモードで動作を開始させます。
　また「cindyply.zip」と呼ばれているものもあり、悪いことに、「mycollection.exe」と同様の動作に加え、 Butt Trumpetプラグインと共に「Back Orifice」をインストールしてしまいます。これはUsenetのバイナリグループでAVIコレクションプレイヤーとして配布されているようです。

悪意ある参加者への対処

　これらの行為をした者への対処として、チームから除外し、設定用のパスワードを変更し、賞金分配の対象から外し、統計情報から削除しました。またチームのパスワードも変更し、その旨をチームコーディネータに報告しました。

　チーム創設者がこれらの行為に荷担していないことが証明できた場合は、チームは元の状態に戻され、悪用されたアドレス分のブロックを取り除くという対処を行っています。

　もしもあなたがこれらに関する情報を持っていたり、これらの行為を発見、もしくはこれらの行為の犠牲になっていた場合は、 abuse@distributed.net までお送りください。ただちに調査を開始します。

tar pit