IISを媒体にIEで閲覧するだけで感染するウィルス 173
ストーリー by Oliver
一瞬たりとも気がぬけない 部門より
一瞬たりとも気がぬけない 部門より
btm 曰く、 "読売新聞の記事より、IEで閲覧するだけで感染するウイルスが発見された。 itmediaの記事によるとこのウイルスはまず MS04-011を適応していないIISサーバに感染し、悪意のあるJavascriptコードをウェブページのフッターに仕込む。そして、MS04-013を適応していないIEで閲覧するとJavascriptが動作し、トロイの木馬を仕込むというもの。このトロイの木馬によって個人情報などが盗まれてしまう可能性があるという。Windowsユーザには早急にWindows Updateを行い、Javascriptを無効にする事をすすめているが、まだパッチが提供されていないバグをついた可能性もあるという指摘もあるため、問題を避けるためにMozillaやFirefox, Operaなどの他のウェブブラウザに一時的であっても移行をお勧めします。"
みーたーなー (スコア:4, おもしろおかしい)
「おまえは見てはならないものを見てしまったようだ」ウィルス
とでもしていただくと、恐そうな実感がわくんだが。
IIS には PCT (SSL) の脆弱性を突いて侵入している可 (スコア:4, 参考になる)
そうであれば、Sasser が登場した時、 カーネルを置き換えるので弊害も出る MS04-011 のパッチ [atmarkit.co.jp]は適用できず、回避策を取って Sasser をやり過ごしして「やれやれ」と安心していたサーバー類が、今度はPCT の脆弱性でジワジワと被害が広がったのだろうか。
なお Handler's Diary では、トロイの木馬を仕掛けられるようなサーバーでは他に何に感染しているか判った物じゃないから、諦めて再セットアップする事を勧めている。 (アンチウイルスソフトで検出できるのは「広く流行して、メジャーな、既知の」ウイルスやトロイの木馬だけであって、さほど流行していない物とか、マイナーな変種であるために、ユーザーからアンチウイルスベンダーに「これ、調べて対応してよ」と送られる事が無い物は検出のしようがない) 4 月に出た MS04-011 をまだ当てていないマシンは、もう色々感染しまくりだろうから、「駆除」だけではトロイの木馬が一掃できないという考えによるものだが、この点は人によっては意見も異なるだろう。
LURHQ [lurhq.com]も詳しいですね。
ちなみに私もさっき Firefox に換えました。 イントラの IE バリバリに特化したシステムとかなら別かもしれませんが、 いわゆる「インターネット」をブラウズしたり掲示板に投稿したりする分には全く問題無いですね。 ちなみに Mozilla Firefox FAQ [texturizer.net] には
Firefox日本語版インストーラー (スコア:1, 興味深い)
http://shiten.s13.xrea.com/ [xrea.com]
#これじゃまだ足りない?
注意点としては、日本語版インストーラーをインストールするときは既にインストールしてあるFirefoxをアンインストールする必要があります。
Re:Firefox日本語版インストーラー (スコア:2, 参考になる)
マイクロソフトからの情報 (スコア:3, 参考になる)
Download.Ject に関する情報 [microsoft.com]
本家より、削除方法 [slashdot.org]
下記WEBページにて、感染
http://www.yetanotherhomepage.com/j7xx/j7xx.html
(Windows 2000)での削除方法:
下記、削除:
C:\Winnt\System32\Swin32.dll
C:\Winnt\System32\Automove.exe
C:\Winnt\System32\Trans.exe
下記レジストリ削除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
[Adstartup] C:\Winnt\System32\Automove.exe
レジストリの中のSwin32.dllを探して削除。
Take out all of the CLSIDs it occurs in.
上記の意味は私には解りません。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:マイクロソフトからの情報 (スコア:1)
本家の情報はなんか違うもののような感じです。
何か別のADwareか、ウィルスの情報ですかね?
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
ブラウザの移行? (スコア:3, 興味深い)
そのブラウザの特性というか特徴、弱点、動作なんかを理解してないと
移行しても意味ないんじゃないの?
Re:ブラウザの移行? (スコア:2, 参考になる)
信頼できるサイトを登録して、IEを利用するように
英語版のこのウィルスの情報 [microsoft.com]で推奨していますが、
どのサイトが感染しているかわからない状況では、
IEを使わないというのが、推奨されると思います。
XPを使っている方はXPのSP2が正式リリースされるまで
他のブラウザを使うか、現在リリースされているSP2RC2の
パッチを当てられると良いと思います。(SP2RC2を使って
いると感染しないそうです。)
もちろん、あれげな方はIEをカスタマイズして、
使ったらよろしいとは思いますけど。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:ブラウザの移行? (スコア:2, 興味深い)
アプリはIE以外で動かなかったりしませんか。
UA見て「IEで使いなさい」と利用拒否する良心的? な
アプリもありますが。(それこそどうする気だという感じ)
主な例としては、クライアントスクリプトで動的に
ページ内容作ってて
”<script>”+……+”</script>”
なんて書き方してる。
Mozilla系だと閉じタグでスクリプトブロックが
終了してページがぶっ壊れるわけですが。
※SGMLの仕様です。バグではありません。
http://puma.cis.ibaraki.ac.jp/htmllint/explain.html#etago-in-cdata
「たいした修正量じゃないんだから直してよ」と
運営側にメールしたけど、未サポートだからと
丁重に断られたことですよ。
Re:ブラウザの移行? (スコア:1)
たぶん正解。
でも「設定ちゃんとできないユーザ」にMozillaとかOperaをインストールして使え、ってのもアレか。
"Webブラウザとは何なのか"というところから説明しないといけないかも。
Re:ブラウザの移行? (スコア:1)
Re:ブラウザの移行? (スコア:1, 参考になる)
>結構困難な気がします。
それをわざわざ認識させる理由って何なんでしょう?
シェアが少ないからでも何でもいいから、実害が出てない環境に移行した
方が安全ということだけ認識していればいいのでは?
もちろん、他のブラウザのユーザーが増えることで攻撃対象が分散されて、
IEの被害が減るというならIEを使い続けたい人にとっても嬉しいことです
よね。
Re:ブラウザの移行? (スコア:1)
Operaといえば URL偽装 [nikkeibp.co.jp]の脆弱性とかが出ているようです.
後からではなくて 先に確率云々言っておくのも手ですよね:-p
Re:ブラウザの移行? (スコア:2, 興味深い)
最初からそんな1か0かみたいな言い方せずに、
「IEよりはマシだ」ぐらいに言っとけばいいのでは。
って言うか、そもそも他人を責めるのは間違いですね。
財布だってクルマだって自分で責任もって盗まれないようにしてるわけですから、
むしろ本物のウィルスから身を守るのも自分の責任ですし(近藤さんは忘れずに!)、
パソコンだって自分で守るのが基本ですよ。
つけてたって感染するときゃするんですから、
それを感染したと逆切れされちゃたまりませんよ。
でも、やっぱりつけた方がマシですよね?
それと同じようなもんです・・・って言うのは無理やりすぎですか。
しかしIEには「OSに統合されてしまっている」と言う
他のブラウザにはない構造上の欠陥があるわけで、
それだけ取ってみても他のブラウザに切り替える
価値はありますって。。。
Re:ブラウザの移行? (スコア:2, 参考になる)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"Flags"=dword:00000047
にして、オプション設定でマイコンピューターゾーンを設定できるようにして、かなり厳しく設定しました(戻しは21で可らしい)。
ふと思ったんだけど、インラインフレームの実行とかは大丈夫なんだろうか?
感染した人も迷惑をこう持ったかもしれないが、スプリクト実行必須のサイトは大変だろうな。
比較的安全であったjavaスプリクトが、日を増す毎に危険な存在に....
Re:ブラウザの移行? (スコア:1, 参考になる)
「MozillaやOperaの脆弱性が~」
という方々、MozillaやOperaに代えることは
more betterな考え方の一つだって受け止め方をしても
いいんじゃないかと思うんだよね。
根本的解決を図ることが一番の解決法だってのは
分かっちゃいるが、時には対処療法も必要な場合が
あるでしょ。ウイルスに感染したPC発見!って時に
真っ先にやるのは感染PCの隔離でしょ?
もっとも、業務用アプリがIEでしか動かないってんなら
MozillaやOperaは使えませんってのはしょーがないと思うがね。
Re:ブラウザの移行? (スコア:1)
といいつつうちではヘルプとサポートのサービス自体止めててますが……。鬱陶しいので。
セキュリティーを「高」に? (スコア:2, すばらしい洞察)
で、マイコンピュータゾーンの設定をするには、regedit を使わないとできないわけで、一般人にできることではない。
こんないいかげんな報道してていいのか?
Re:セキュリティーを「高」に? (スコア:1)
推奨しています。 [microsoft.com]
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
リンク先を読むと (スコア:1, すばらしい洞察)
>マイクロソフト社は、まだ完全な修正ソフトがないため、閲覧ソフトの
>セキュリティーを「高」に設定するよう推奨している。
だろ。
・ 上記は読売の主張ではなくMSの見解
・ MSも完全な対策ではないことを認めている。
しかもromfffrom氏の書き込みにあるように完全に無意味な対策ではない。
MSの対策が遅れているのは問題かもしれないが読売の報道としては
何の問題も無いだろう。
前後関係を無視して自分の都合のいい部分"だけ"を作為的に抜き出して
安易な批判を加えるなど、こんないい加減な書き込みしてていいのか?
#元記事や関連リンクを読めばAC(#577440)と(#577448) のモデレーションはむしろ逆だと思う。
Re:リンク先を読むと (スコア:1)
Use the following steps to update your computer, remove any infection, and increase your browsing and e-mail safety settings.
と言っています。
またその下でアンチウイルスソフトのアップデートの推奨と駆除ソフトの入手方法を書いています。
これらのステップ全てが重要であり、セキュリティー設定について書くだけでは不十分では?
その他の情報源 (スコア:1)
Re:その他の情報源 (スコア:1)
F-Secure [f-secure.com](英語)
シマンテックの情報にあるイメージファイル(JPEG,GIF)に云々ってのを見て
このニュース [impress.co.jp]を思い出したんですが・・・関係ないですかね?
いや,無いなら無いでそれに越した事はないでしょうけど。
Re:その他の情報源 (スコア:1)
リンク先のタイトルが うちの環境では↓こんな感じで表示されてしまいました.
さまざまなアプリケーションを異常終了させるGIF
画像がネット上に流出
ネット上に流出って………
Re:その他の情報源 (スコア:1)
>GIF画像になんらかの悪意あるコードが埋め込まれている可能性が高いだろう。
うーむ、悪意あるコードって、意図的に仕込まれたプログラムコードのことだと思うけど、この記事の場合、そんな代物じゃなくて、単なる不正な(どっか間違った)GIFファイルなだけじゃないかなあ。実物を入手して解析したわけじゃないからわからないけど。
最初から壊れていた、あるいはいつかどこかで破損したファイルが「流出」したというほうがありそうな気がする。
「さまざまなアプリケーションを異常終了させる」っていうのは、現象として間違いではないけど、クラッシュしてるのはみなIEコンポーネント使ってるものじゃないですか?だとするとこれは事実上、ある一種類の画像展開ルーチンがクラッシュしているだけなわけで、あるバージョンのIEコンポーネントが不正な画像に対する耐性が低かった、ってだけの話じゃないかという気がするんですが。
typo (スコア:1)
○適用
パッチを適応するでは意味が通らん(「適応する」は自動詞)。
simple is best (-1: フレームのもと) (スコア:1, おもしろおかしい)
いや、業務上とか見た目とか難癖付けて無理だという低能が多いのはわかってるが。
ブラウザの使い方の違い (スコア:1)
IEと他のブラウザってそんなに使い方が違いますかね?
OEの方は確かに他のメーラーとは違うかもしれないですが、
ブラウザ本体に限って言えばそれほど違ってるとは思えないですよ。
基本的にポチポチとクリックしてリンクをたどったり、
フォームに入力する方法は同じなわけですし。
むしろ大変なのはIEでしか動かないWebアプリかと・・・
ActiveXバリバリなWebアプリかと・・・
こう言った問題を避けるために、Web上で動くアプリケーションは
複数のブラウザをサポートする、と言うか動作検証するべきだと思うんですがねえ。
Re:simple is best (スコア:1)
この辺はWBTが一日の長があるようですよ。
有名どころでは東大が確かWBTを数年前に導入してた記憶が。
あれはアプリからデータまで全てを管理側で管理できるのが良いですね、一発アップデートは強い。
ここの領域はまだまだLinuxは発展途上だと思います。
#1CD-Linuxだとアプリがアップデート食らう度にCD配布して回る必要がありますし。
もっとも、ライセンス高いので企業ユースが多いらしいですけどね。>WBT
それでも使われるIEと、三菱車との違い (スコア:1, 興味深い)
わけじゃないですか。修理すれば乗れるとしても…。
例の番組も“パジェ●”コールしなくなったらしいし。
でも、もう星の数ほど欠陥が見つかってはパッチあててるIEは、
それでもシェアをおとさないわけです。
今回のようなことがあっても、だいたい世の中の9割9分くらいの
IEユーザーはおとなしくパッチが出るのを待つわけです。
命に関わらないことだったら、もう何でも許してオッケーってことなのかな?
Re:それでも使われるIEと、三菱車との違い (スコア:1, 興味深い)
今回のようなことがあっても、だいたい世の中の9割9分くらいの
IEユーザーはおとなしくパッチが出るのを待つわけです。
パッチを待ってなどいません。
無関心で使い続けるのが一般的なユーザーです。
# /.Jなど見ない近親者にウイルス対策をさんざん説いたけど、糠に釘だった...
Firefoxに移行してみました。 (スコア:1, 興味深い)
普段DonutPを使っているのでそもそも移行できるもんか危惧していたのですが、いくつかブラウザ拡張を放り込むと、意外と悪くない使い勝手です。
この辺 [kyoto-kcg.ac.jp]を参考に、タブ拡張 [sakura.ne.jp]、マウスジェスチャ [geocities.co.jp]、言語環境設定拡張 [fls.moo.jp]、詳細設定用拡張 [geocities.co.jp]を入れてみたところ、なかなかいい感じに設定できています。
タブブラウザ使いの人も一度お試しあれ。
Re:Firefoxに移行してみました。 (スコア:1)
DonutPから抜けられない。
日頃はずっとJavaとスクリプトとActiveXはオフだからいいよね ^^;
ご助言どおり (スコア:1, おもしろおかしい)
IEより使いやすくていい感じです。
Re:ご助言どおり (スコア:1, 興味深い)
結構期待してるんだけど。
護送船団方式 (スコア:1, すばらしい洞察)
感染したらみんな感染した.の認識程度で
これと言った対策をしないのが普通でしょう.(一般は)
設定の項目がどこにあるのか
また設定を変えても前の設定が何かすら覚えていない.
そんな状況で一時的に設定を弄るようなことをいっても
無駄な気がする.
IE中心のコンテンツビジネスのは絶対上手くいきませんから
そろそろ卒業しないといけないのでしょうけど
#おかしくなったらコンセントの電源を抜き
#しばらくしてから電源を入れると元に戻る設計の方がまれている気がします.
Re:知っている人だけでは・・・ (スコア:2, 参考になる)
IT Pro によると セキュリティ情報は口コミで [nikkeibp.co.jp] だそうです.
Re:知っている人だけでは・・・ (スコア:1)
PCを買ったその上また別にソフトウェアを買わなきゃいけない、なんてのなかなか納得できないでしょうし。
ということでメモ帳などのようにWindows自体にウィルス対策ソフトウェアを標準装備させるしかないと思います。
exsplorer.exeなみに常時稼働させるかんじで。
Re:知っている人だけでは・・・ (スコア:1, 興味深い)
Mozillaのマイルストーン版なんかがそうだったような気がする。
Re:知っている人だけでは・・・ (スコア:1, おもしろおかしい)
今まで通り舞い込むだけだと思う。
なんで初心者って「何もしていないのに」って言うんだろうね。
まるで、怒られるのが怖くて嘘をつく子供だよ。
ま、この場合は「何もしていないからです」って言えるからサポートも
楽だろうけど。
Re:知っている人だけでは・・・ (スコア:2, 参考になる)
少なくとも私の周りはそういう連中ばかりです…。(涙)
Re:知っている人だけでは・・・ (スコア:1)
けっこうな人達は車の整備もまともにしませんからね。
出来ないのではなくて、やらなくても動くからやらないのです。
マフラーからカーボンを撒き散らしながら走っている車を見るとうんざりします。
彼らがWindowsを使うと、きっとものすごく沢山のワームを撒き散らしてくれる事でしょう(゜д゜;
PCにも車検みたいなのがあると多少はマシなんでしょうけどね・・・
いや、そもそもインターネットに接続するのは免許制に・・・
Re:知っている人だけでは・・・ (スコア:2, すばらしい洞察)
いやいやそれは危険ですぜ。
以下妄想。
・免許認証用に特定のソフトのインストールを義務づけられる。
・そしてそれはWindows版しか用意されない。
・さらに、更新時にはけっこうな金額が取られる。
・そしてその認証管理のための機関に大量に天下りが行き、税金の無駄遣いをする。
Re:知っている人だけでは・・・ (スコア:1, おもしろおかしい)
・免許任免にかかわる経産省の外郭団体がつくられる。
・トップは省OB。
・業者委託で「出先機関専用インターネット閲覧装置」を開発、数百億円を費蕩。
・宿泊型インターネット文化研修施設『りぞネット湯河原』、収容客数860人、平均空室率84%。
・他にも数えきれないほどの無○使いが延々と・・・
#湯河原のみなさんゴメンナサイ
Re:知っている人だけでは・・・ (スコア:1)
#それで危機感でも持っていただければ十分かと。
Re:知っている人だけでは・・・ (スコア:4, 興味深い)
所謂「初心者」と呼ばれる方々には、画面に突然何か出た時に
「はい」「Yes」などの肯定系の選択肢を中身も見ずに押される方が
とても大勢おられます、仕事柄そのような方とお話をする機会も多いので
何故肯定の選択肢を押すのか訪ねると帰ってくる答えが以下のいずれかが殆どです
・読んでもわからない
・英語だから(読もうともしない)
・押したら消える(た)
当たり前の話ですが、このような方にとってはパッチもウイルス対策ソフトも殆ど無意味です
技術的な問題を解決するのも勿論大事ですが
意識的な部分を解決しないとWindowsでもLinuxでもBSDでも
何使っても同じですね
メーカー製PCも「困ったときに」という冊子だけでなく
A3ベラ1枚程度の「これだけは、してはいけない」とか付けてくれると少しは改善するかも
Re:知っている人だけでは・・・ (スコア:3, おもしろおかしい)
> 「はい」「Yes」などの肯定系の選択肢を中身も見ずに押される方が
> とても大勢おられます、仕事柄そのような方とお話をする機会も多いので
先日、メールフィルタ・最新のウイルススキャンのパターンファイル(自動更新するよう設定してある)を抜けてくるワームが蔓延し始めてたんで「変な英文メールの添付ファイルはクリックするな~!」と部門内(つっても50人くらい)を叫んでまわってました。
その最中に、うちの上司が、
「××君、このメールの添付ファイルをクリックしたら、なんか出て『はい』って押したんだけど、いいんだよね?。変なメールだったんだけど、○○さんからのメールだから大丈夫と思ってクリックしたんだけど。」
と仰ってくれました。orz
変なメールだと思ったんだったら、クリックする前に相談してくれよおおおおおおおおおおおおお!!
パッチが全部あたっていようとも、パターンファイルが最新になっていようとも、メール鯖側でウイルス検知がされていようとも、ユーザーが無知でいる限り防ぎきれないのを痛感しました・・。
#叫んでる目の前でクリックしないでください・・・>某上司
Re:知っている人だけでは・・・ (スコア:1)
>A3ベラ1枚程度の「これだけは、してはいけない」とか付けてくれると少しは改善するかも
こういうのは最近の周辺機器に多いですね。
僕はルーターを買ったら`箱を開けたらまずこれをしてください`みたいな多い紙が一番上に入っていました。
Re:言語名の大文字小文字 (スコア:1)
Re:管理者権限 (スコア:2, すばらしい洞察)
管理者権限以外じゃ使いにくいから♪
そもそもがシングルユーザOSを拡張したものですから、ソフトを作っている側も管理者権限以外を想定していないなんて事も多いですし。
管理者権限以外では不都合が生じる事が多いのに、管理者権限を使うなと言っても聞き入れてくれるユーザが居るとは考えにくいですよ。
--- どちらなりとご自由に --- --