ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発 菊池研究室 神宮　真人

コンピュータウィルスとは ウィルスはどのように感染を広げるのか？ 1.3.1.105 1.3.1.80 1.3.1.107 1.3.1.106

研究の目的： ワームの特徴 ウィルスの特徴を明らかにする 探索するIPアドレスはウィルスの種類に依存して異なる 0.05秒間 0.02秒間 Bozori.aの送信パケット Sasser.aの送信パケット Time[s] 送信先IPアドレス 0.000000 1.7.1.104 0.004917 1.7.1.156 0.012032 1.7.0.2 0.024414 1.7.0.51 0.055658 1.7.0.155 Time[s] 送信先IPアドレス 0.000000 132.237.183.229 0.005009 1.4.230.217 0.011368 1.21.106.178 0.012254 91.151.37.94 0.017179 174.199.52.148 0.05秒間 0.02秒間 ローカル ランダム 研究の目的： ウィルスの特徴を明らかにする

問題点 インターネットの実観測データには多くのウィルスが混在している IPアドレスの表現では変化が分かりにくい 1.7.64.23 128.2.75.62 128.56.10.97 150.7.64.23 8.1.204.128 21.194.61.28 150.7.64.100 43.2.182.67 254.38.0.64 10.9.162.8 52.83.102.214

Pentium4 3.0GHz 1.0GB RAM Windows XP SP2 ウィルス感染プラットフォーム 実験PC Pentium4 3.0GHz 1.0GB RAM Windows XP SP2 仮想OSソフト VMware 感染OS Windows 2000 SP2 ウィルス数 50個 観測期間 60[s] ウィルスの 入手元 http://vx.netlux.org ベースのOS　　 仮想OS パケットをキャプチャー

Octetグラフの提案 Octetとは IPアドレス 150. 7. 64. 32 Octet 1 2 3 4 ローカルな攻撃の例 255 36 35 64 34 33 7 32 Octet1 Octet2 Octet3 Octet4

PacketViewerの機能 ワームの選択 送信頻度グラフの表示（タブ） 時間バー 表示 スピードの変更 Octetグラフの表示画面 表示　　スピードの変更 Octetグラフの表示画面 ポート番号によって色分け IP・ポートの数値 ローカルアタックの判別

今から感染します

観測データの問題点 仮想ネットワーク環境のため，送信先が存在しない TCPプロトコルによってログに影響 TCPパケットの再送 再送を含んだログの頻度 再送を削ったログの頻度

IPアドレスから考察する標的 ・Type1（ローカル） 少数ネットワークの多数ホスト ・Type2（ランダムホスト） 多数ネットワークの少数ホスト

MSBlasterとBozori.eのパケット送信頻度 一定の割合でスキャン

実験結果 可視化ツールによって分かるウィルスの特徴 ウィルスが標的とする対象 使用する送信先ポート番号 ネットワークへ与える負担の大きさ 3タイプの比率（50個中） Type ローカル ランダムホスト ランダムネット 個数 33 13 4 比率(%) 66 26 8

結論 ウィルスの振る舞いの可視化を実現した 可視化ツールによって，ウィルスの標的，使用するポート番号，ネットワークへの負担の大きさを視覚的に捉える事が出来た

ご清聴ありがとうございました

本研究の応用 効果的な対処方法の提案 ネットワーク上のトラフィックと比較し，インターネット全体のワームの存在率を求める ？％ ？％ ？％

感染プラットフォームの欠点 環境に依存するウィルスの実験が不可能 仮想OSを感知するウィルスが存在する 例：SQL Slammerなど !!

ウィルス毎の送信パケット数/s Bozori packets/s Dasher DipNet Lebreat Lovesan Mytob Doomran Hiberium CodeGreen Dabber Dasher DipNet Doomjuice Kibuv Mofeir Lebreat Lovesan MSBlaster Muma Mytob Nanspy Nimda Padobot Sasser SdBoter Bozori Cycle

実験に用いたウィルス Bozori.a CodeGreen.a Lebreat.a Nanspy.a Bozori.b Dabber.a Lebreat.b Nanspy.b Bozori.c Dabber.c Lebreat.d Nanspy.c Bozori.e Dasher.b Lebreat.e Nanspy.d Bozori.f Dasher.c Lebreat.f Nimda.e Bozori.g DipNet.a Lovesan.a Padobot.aa Bozori.h DipNet.b Lovesan.f Sasser.a Bozori.i Doomjuice.a Lovesan.p Sasser.f Bozori.j Doomjuice.b MSBlaster Sasser.g Bozori.k Doomjuice.c Muma.a SdBoter.c Cycle.a Kibuv.a Mytob.a SdBoter.h Doomran Kibuv.f Mytob.b Hiberium.b Mofeir.b Mytob.d

亜種とは 一度出回ったウィルスの改造版 基本的な動きは同じ 送信されるメッセージの内容が違う 添付ファイルの名前が違う ウィルス名 パケット数 Mytob.a 9 Mytob.b Mytob.d 7597