人事ですかそうですか(Part2)
----------
ログインページにおける不正表示について
hXXp://www.value-domain.com/info.php?action=press&no=20090721-1
7月6日、ログインページにて、ウィルスダウンロードを誘導するページへのリ
ンクが設置されていました。ウィルスについては下記が参考になります。
Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について
http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
あのですね・・
このどこがウィルス情報なワケですか?
と、前回も怒った記憶があるので、今回はどんなインシデント(笑)なのか、まとめて見ましょう
----------
今回は「デジロウィルス」の名前を使っておきましょう(笑)
感染の疑いのある人へのフローチャート:
1). Windows Web Components CVE-2009-1136
影響を受けるシステム
Windows Vista /SP1/2(※1)
Winodws XP /SP1/2/3
Windows 2000 SP4(※2)
以下の製品をインストールした覚えのある方、もしくはプレインストールされていた方Winodws XP /SP1/2/3
Windows 2000 SP4(※2)
Office XP
Office 2003
BizTalk
ISA Server
Office Accounting and Business Contact Manager
あるいは、 Office2007 で互換性モードのためにオプションで OWC(Office Web Components)をインストールした方Office 2003
BizTalk
ISA Server
Office Accounting and Business Contact Manager
で、
※1 いつもなら Vistaには Un-Affected! とか書いてきますが、どこにもその記述が無いため、完全に影響がないとは言い切れません。
※2 Windows2000は SP4以外のサポートが終了しています。
※3 Server2003/2008 は ActiveX Control がロードされないため、関係ありません。
参照:
2). Microsoft Video ActiveX 脆弱性
(MPEG2TuneRequest 脆弱性)
影響を受けるシステム
Winodws XP /SP1/2/3
Windows XP Professional Edition x64
Windows Server 2003 SP2/x64 SP2/SP2 forItanium
※4
Windows XP Professional Edition x64
Windows Server 2003 SP2/x64 SP2/SP2 forItanium
※4
以上のシステムで、
Vistaが除外される理由
ごめんなさい、Vistaでダケは直してました(てへっ)
Questions about Timing and Microsoft Security Advisory 972890
※4 Windows 2000 SP4 にはそもそも存在しないコンポネンツです。
※5 7/15のパッチで
3). Adobe AcrobatReader/Flash Player 脆弱性
CVE番号は割愛(多すぎ)
影響を受けるシステム
Windows 2000 SP4
Winodws XP /SP1/2/3
Windows XP Professional Edition x64
Windows Server 2003 SP2/x64 SP2/SP2 forItanium
※5
Winodws XP /SP1/2/3
Windows XP Professional Edition x64
Windows Server 2003 SP2/x64 SP2/SP2 forItanium
※5
Adobe Acrobat Reader の累積的な脆弱性バージョンを放置している方 (最新版:9.1.2)
Adobe Flash Player の累積的な脆弱性バージョンを放置している方 (最新版:10.0.22.87)
※5 Vista上での感染を聞いたことがない~恐らくDEPの回避ができないものと思われます。
----------
以上に心当たりのある方は、システムフォルダ内の以下の場所を確認してください
Windows 2000 SP4:
C:\Winnt\System32
Windows XP, Vista:
C:\Windows\System32
チェックするファイル:
carrsv.dll
diskcheck.exe
flashaegh.dll
mnpse.dll
ntst.dll
diskcheck.exe
flashaegh.dll
mnpse.dll
ntst.dll
これらのファイルが存在した場合、速やかにウィルスチェックを行ってください。デジロウィルスに感染した可能性が極めて高いと思われます。
----------
デジロウィルスに感染した場合、特にネットワークゲームのID/Password情報が窃取された可能性があり、それに留まらずさまざまな ID/Passwordが窃取された可能性があります。
亜種の一例
多数の亜種があるらしいので、一概に対応策を提示できません。
亜種の中には IRC経由でのBotnetコマンド待ちうけを行っているものもあり、更に悪質なマルウェアを埋め込まれた可能性も否定できません。
また、自分の PC が Botnet 化(ゾンビPC化)した場合、あなたの意図に反して犯罪に使用されている可能性もあり、最悪のケースとしては見覚えのない犯罪に加担したことで訴追される可能性もあります。
----------
対処:
基本的には、バックアップを取り、リカバリポイントまで差し戻し、もしくはクリーンインストール
HijackThisに詳しく、ComboFix/MalwareBiteの動作を正確に理解できる方は、そのインストラクションに従って除去することが可能かもしれません
一部のセキュリティソフトは、検出しても完全に除去できない可能性があるものが存在します。
インシデントが懸念される際の対策の基本理念は
常に最悪のケースを想定し、対処すること
だと思っています。
----------
For English Visitors:
Well, there's terribly injection that Japanese IT integrator compromised regarding Microsoft Office Web Components(OCW) exploits. The compromised site scattered malicious code almost 2 weeks without any attention. It seems NOOOOOB but they're IT company. Although they removed malicious code unless any attention for visitors that possibly infected via virus and victims have been theft their credentials as their risks. Do you think they're trusty?
----------
あー疲れた
EoF