タグ「トロイの木馬」が付けられているもの

 「広告配信システムが外部からの攻撃を受け、不正なコードを埋め込まれたバナー広告がサイト上に表示されていた」ということで、普段、インプレスのサイトを頻繁に閲覧しているわたしとしては驚いています。今回も、Internet Explorer を使っていてはダメということを再確認させられました。

インプレスビジネスメディア、バナー広告改ざんでウイルス感染の恐れ -INTERNET Watch

 株式会社インプレスビジネスメディアは21日、同社の広告配信システムが外部からの攻撃を受け、不正なコードを埋め込まれたバナー広告がサイト上に表示されていたことを明らかにした。このバナー広告を閲覧した一部のユーザーは、トロイの木馬型ウイルスに感染した可能性があるとしている。

 改ざんされた広告が表示されていたのは19日23時22分から翌20日0時25分まで。この間、同社が運営する「Think IT」「Web担当者Forum」「IT Leaders」「データセンター完全ガイド」「レンタルサーバー完全ガイド」のいずれかに Internet Explorer でアクセスし、かつウイルス対策ソフトをインストールしていないユーザーは、ウイルスに感染した恐れがあるという。

 ウイルス感染の恐れがあるユーザーに対しては、ウイルス対策ソフトを最新の状態にして、ウイルススキャンを実施するように呼びかけている。また、ウイルス対策ソフトをインストールしていないユーザーに対しては、シマンテックやトレンドマイクロ、マカフィーが提供する無料ウイルス駆除ツールを紹介している。

 なお、今回の障害は、社内でのシステムチェックにより発見され、約1時間後に広告表示の停止による緊急対応を行い、すでにサービスは復旧済み。なお、攻撃を受けた広告配信システムには個人情報は含まれておらず、情報漏えいの可能性はないとしている。

 今、最も恐い「Gumblar」感染。この攻撃の実態を知るためにブログ記事にしておきます。

ボット、偽ソフト、ルートキット......「Gumblar」感染被害の実態 -INTERNET Watch

 シマンテックは9日、一般的に「Gumblar(ガンブラー)」と呼ばれている攻撃の活動内容について、企業などのWebサイトが改ざんされる被害だけでなく、ボットや偽セキュリティソフト、ルートキットなどのマルウェアに感染するケースが多数発生しているとして、注意喚起を行った。

 いわゆるGumblarとは、特定のマルウェアを指すものではなく、攻撃者が複数の手段を併用し、多数のPCにさまざまななマルウェアを感染させようとするために使う一連の手口のこと。改ざんされたWebページを閲覧すると悪意のあるWebページに誘導され、ウイルスがダウンロードされる。その際、PCのOSやアプリケーションに脆弱性が存在すると、そこを悪用されてマルウェアに侵入される。

 こういう話題をブログの記事にすると検索で訪れる人が出てきます。私としては、備忘録として記事にしています。何かあった時に自分のブログを読めばセキュリティ問題が解決するようにしておくのが理想です。

「MS10-015」修正パッチ、ルートキット回避機能を追加して再公開 -INTERNET Watch

 Microsoftは2日、セキュリティ更新プログラム(修正パッチ)「MS10-015」にルートキット回避機能を追加して再公開したと発表した。

 この修正パッチは2月の月例パッチとして公開されたが、Windows XPにおいて、適用後にブルースクリーン状態になり再起動を繰り返すという問題が報告されていた。原因は後になって、ルートキット技術を用いたトロイの木馬であることが判明。これに感染したPCでのみ、この現象が発生していたという。

 少し賞味期限が過ぎていますが、アップデートしておきました、ということを記しておきます。しかしながら、問題があるようで Java Console のアップデートが何度も出ておかしいようです。バグだと思います。また、「プラグインチェックツール」を搭載ということですが、そもそもプラグインにこっそりトロイの木馬が仕込まれウイルスチェックをすり抜けた場合の危険性まではチェックしてくれないのは「実証済み」ですね。

「Firefox 3.6」公開、プラグインチェックなど新機能を搭載 -INTERNET Watch

 Mozillaは22日、Webブラウザー「Firefox 3.6」を公開した。Windows版、Mac版、Linux版が、Mozillaのサイトからダウンロードできる。

 Firefox 3.6では、ブラウザの外観を変えられるテーマ機能「Personas(ペルソナ)」を新たに搭載。従来のテーマ機能とは異なり、ブラウザーの再起動が不要で即座に変更が反映されるようになった。また、MozillaではPersonasのテーマをダウンロードできるサイトも公開しており、既に4万以上のテーマが登録されている。

 セキュリティ関連では、インストールされているプラグインの状況を確認する「プラグインチェックツール」を搭載。安全性や安定性に問題のあるプラグインを検出した場合には警告を表示し、配布元から最新版をダウンロードできるようにした。

 これは、衝撃な事実ですね。検知ツールがショボイと、このようなことになるのだが、サードパーティー製の作者に悪意があると起こりえるケースですね。サードパーティー製プラグインというのも便利なんだけどリスクも伴うということか。

Firefox用アドオン2種類にトロイの木馬 -INTERNET Watch

 Mozillaは4日、Firefox用のアドオン提供サイト「Mozilla Add-ons」に登録されていたアドオンのうち、2種類のアドオンにトロイの木馬が含まれていたことを明らかにした。

 トロイの木馬が発見されたのは、「Sothink Web Video Downloader」のバージョン4.0と、「Master Filer」の2種類のアドオン。それぞれ、「Win32.LdPinch.gen」「Win32.Bifrose.32.Bifrose」という名称のトロイの木馬が検出されたという。Windows版のFirefoxのみが影響を受ける。

 こういうトロイの木馬がある、ということでメモランダムとしてここに記しておきます。

偽セキュリティソフトをダウンロードするトロイの木馬が広範囲に -INTERNET Watch

 マカフィーは13日、9月におけるサイバー脅威の状況をとりまとめた。同社が国内5万を超える企業に提供している「McAfee Managed Total Protection」で捕捉した情報をもとに算出した。

 それによれば、最も多くの企業で検知されたウイルスは「Generic!atr」。企業数ベースでは1533社で検知された。Generic!atrは、プログラムを自動実行するための設定ファイル「autorun.inf」。

 また、偽セキュリティソフト「Generic FakeAlert」と同ソフトをダウンロードするトロイの木馬「Bredolab.gen」も上位にランクイン。Generic FakeAlertは411社、Bredolab.genは354社で検知された。Bredolab.genはスパムメールに添付されて広範囲に送信されているという。

 「ユーザーのPCに侵入し、Webサーバーに対して攻撃を仕掛けるタイプのトロイの木馬」ということで気を付けなければなりません。「Microsoft Active Server Pages(ASP)で作成されたフォームを使用しているWebサイトを探」すということですから、レンタルサーバーを借りていますが、直接私には関係ありません。

「TROJ_ASPROX」によるWebサイト改ざんに注意 -INTERNET Watch

 トレンドマイクロは2日、トロイの木馬「TROJ_ASPROX」ファミリーの攻撃と見られるSQLインジェクション攻撃によるWebサイトの改ざんを確認したとして、一般ユーザーやWebサーバー管理者に対して注意を呼びかけた。

 「TROJ_ASPROX」ファミリーは、ユーザーのPCに侵入し、Webサーバーに対して攻撃を仕掛けるタイプのトロイの木馬。Microsoft Active Server Pages(ASP)で作成されたフォームを使用しているWebサイトを探し、サイトに脆弱性がある場合には不正なサイトにリダイレクトするIFRAMEタグの埋め込みを行う。

 2008年7月には、同じ「TROJ_ASPROX」ファミリーにより、日本で約1万、世界で最大21万のWebページ改ざんが確認されている。2日現在では、今回の「TROJ_ASPROX」ファミリーによる日本語サイトの被害は確認されていないが、今後被害が日本にも波及する恐れがあるとして、注意を呼びかけている。

 トレンドマイクロでは、改ざんされたWebページから誘導される不正サイトについては、既に同社製品ではブロックに対応しているとして、一般ユーザーに対してはセキュリティ対策製品やOS、アプリケーションをアップデートして最新の状態に保つことなどの対策の実施を求めている。また、Web管理者に対しては、管理するサーバーのアクセスログ調査の実施を推奨している。

 この記事を読んだ印象では、世界中にウイルスその他が蔓延しているので、マイクロソフトとしても無料で配布しなければとんでもない状況になる、なっているという状況認識なのでしょう。歓迎といえば歓迎なのですが、これによって、サードパーティーのウイルス事業に影響も大いにあるでしょう。事業が立ち行かなくなるようになれば、切磋琢磨していたこの分野が衰えることも考えられます。そうなれば、ユーザーの利益にもならないことが考えられます。メリットもデメリットもあるように思われます。

米Microsoftが来年にも無料のマルウェア対策機能を提供開始

 米Microsoftは18日、2009年後半にもコードネーム「Morro」と呼ばれるマルウェア対策機能を無料で提供することを発表した。

 これに伴い、現在提供している「Windows Live OneCare」サービスは、2009年6月30日で販売を終了する。なお、同サービスの利用者は、サブスクリプション期間が終わるまで利用し続けることができる。

 「Morro」では、核となるマルウェア対策機能のみが提供され、Windows Live OneCareで提供していたパフォーマンス向上ツールやデフラグ、バックアップ復元ツールなどの機能は含まれない。

 機能としては、ウイルス、スパイウェア、ルートキット、トロイの木馬からシステムを保護することを目的とする。特に、帯域幅の狭い低速回線、非力なPCが使用される場合を想定し、小さなフットプリントと、少ないコンピューティングリソースで動作するように設計される。マルウェア対策エンジンには、Microsoftがすでにセキュリティ製品に採用しているものと同じエンジンが利用される。

 最近、rootkit というのがパソコン雑誌でも採りあげられ、こわいなと思うのですが、一応ここに採りあげておきます。何かあったら、ここからたどってrootkitを検出・削除できる「ルートキットバスター」へたどり着けるようにしておきます。

トレンドマイクロが「ルートキットバスター」無償公開、Storm Wormを検出

 トレンドマイクロは22日、特定のWebサイトからウイルスをダウンロードするトロイの木馬「TROJ_SMALL.EDW」(通称「Storm Worm」)が、日本のほか、欧州、米国、台湾など各国で感染が広まっているとして警告した。同社のセキュリティ対策ソフトで検知できる。

 また、TROJ_SMALL.EDWがrootkit技術を備えていることから、rootkitを検出・削除できる「ルートキットバスター」を22日に無償公開した。ルートキットバスターは、TROJ_SMALL.EDWが含むrootkitコンポーネントのほか、これまでトレンドマイクロが確認してきたrootkitコンポーネントを検出・削除できる。Windows XP/2000に対応する。

 またまた新しいウイルスが出現しました。このウイルスに感染したら「固定ローカルドライブを共有アップロードフォルダとして公開する」というのだから恐いです。つまり、自分のハードディスクの中身をそっくり全部公開してしまいます!

ローカルドライブを全公開、Winny流出させる新たなウイルス「Exponny」

 シマンテックは16日、P2Pファイル共有ソフト「Winny」の設定を変更するトロイの木馬型ウイルス「Trojan.Exponny」を発見した。感染したPCのすべての固定ローカルドライブを共有アップロードフォルダとして公開するという。危険度は5段階中で下から2番目だが、リスクインパクトは3段階中最も高い"高"と評価している。

 Exponnyが実行されると「C:\Program Files\Winny2\Down\期間限定にアクセスできません。アクセスが拒否されました。」などという日本語の偽メッセージを表示。次いで、システムフォルダの「drivers」フォルダに自分自身を「host.exe」としてコピーし、レジストリキーを改竄することでWindowsが起動するたびに実行されるように設定する。

 「すでに攻撃コードが公開されているとしており」というのは、恐いです。しかも「現在のところ、マイクロソフトからセキュリティ修正プログラム(パッチ)は提供されていない」というのも恐い。

攻撃目的に悪用されないと思われていたIEの脆弱性に攻撃コードが出現

 マイクロソフトは22日、リモートでコードが実行される恐れがある脆弱性がInternet Explorer(IE)に存在するとして、セキュリティアドバイザリ(911302)で警告した。デンマークのSecuniaでは、すでに攻撃コードが公開されているとしており、危険度は5段階で最も深刻な"Extremely critical"。現在のところ、マイクロソフトからセキュリティ修正プログラム(パッチ)は提供されていないが、インターネットのセキュリティゾーンの設定を変更することで脆弱性を回避できるという。

 脆弱性が存在するIEは、IE6(64bit版を含むWindows Server 2003/ 2003 SP1およびWindows XP SP2)、IE6 SP1(Windows XP SP1/2000 SP4/Me/98SE/98)、IE5.5 SP2(Windows Me)、IE5.01 SP4(Windows 2000 SP4)。

 これらのIEには、Windowオブジェクトをポイントする「onLoad」イベントを含むWebサイトにアクセスした際、攻撃者によって任意のコードが実行されることでシステムメモリが破損する恐れがある。

 マイクロソフトではこの脆弱性を調査中で、現時点では修正パッチは提供していない。ただし、インターネットのセキュリティゾーンの設定を変更することで脆弱性を回避できるという。具体的な回避策は、1)インターネットとイントラネットゾーンでアクティブスクリプトが実行される前にダイアログを表示する設定、もしくはアクティブスクリプトを無効にする設定に変更する、2)インターネットとローカルイントラネットゾーンの設定を「高」にし、アクティブスクリプトを実行する前にダイアログを表示する、3)閲覧を「信頼済みサイト」のみに制限する――の3つ。

1

タグ

このページについて

このページは、検索結果を表示しています。もしくは、コメント投稿画面を表示しています。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

アーカイブ

ステータス

ブログ記事: 1632
コメント: 383
トラックバック: 185


最終更新日:2020/05/28 05:38:18

OpenID対応しています OpenIDについて
Powered by Movable Type 5.07