パスワードを忘れた? アカウント作成
8445 story

IISを媒体にIEで閲覧するだけで感染するウィルス 173

ストーリー by Oliver
一瞬たりとも気がぬけない 部門より

btm 曰く、 "読売新聞の記事より、IEで閲覧するだけで感染するウイルスが発見された。 itmediaの記事によるとこのウイルスはまず MS04-011を適応していないIISサーバに感染し、悪意のあるJavascriptコードをウェブページのフッターに仕込む。そして、MS04-013を適応していないIEで閲覧するとJavascriptが動作し、トロイの木馬を仕込むというもの。このトロイの木馬によって個人情報などが盗まれてしまう可能性があるという。Windowsユーザには早急にWindows Updateを行い、Javascriptを無効にする事をすすめているが、まだパッチが提供されていないバグをついた可能性もあるという指摘もあるため、問題を避けるためにMozillaやFirefox, Operaなどの他のウェブブラウザに一時的であっても移行をお勧めします。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • みーたーなー (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2004年06月26日 21時50分 (#577438)
    ウィルスの名前は、過去のうちもっとも長い名前として

    「おまえは見てはならないものを見てしまったようだ」ウィルス

    とでもしていただくと、恐そうな実感がわくんだが。
  • MS04-011 は雑多な脆弱性を対策していて、Sasser のワームで悪用された LSASS の脆弱性 - CAN-2003-0533 ばかり注目されがちだが、PCT の脆弱性 - CAN-2003-0719 も攻撃コードが出ている。IIS への侵入は、PCT の脆弱性を悪用している可能性が高いと Handler's Diary [incidents.org]は睨んでいる。

    そうであれば、Sasser が登場した時、 カーネルを置き換えるので弊害も出る MS04-011 のパッチ [atmarkit.co.jp]は適用できず、回避策を取って Sasser をやり過ごしして「やれやれ」と安心していたサーバー類が、今度はPCT の脆弱性でジワジワと被害が広がったのだろうか。

    なお Handler's Diary では、トロイの木馬を仕掛けられるようなサーバーでは他に何に感染しているか判った物じゃないから、諦めて再セットアップする事を勧めている。 (アンチウイルスソフトで検出できるのは「広く流行して、メジャーな、既知の」ウイルスやトロイの木馬だけであって、さほど流行していない物とか、マイナーな変種であるために、ユーザーからアンチウイルスベンダーに「これ、調べて対応してよ」と送られる事が無い物は検出のしようがない) 4 月に出た MS04-011 をまだ当てていないマシンは、もう色々感染しまくりだろうから、「駆除」だけではトロイの木馬が一掃できないという考えによるものだが、この点は人によっては意見も異なるだろう。

    LURHQ [lurhq.com]も詳しいですね。

    ちなみに私もさっき Firefox に換えました。 イントラの IE バリバリに特化したシステムとかなら別かもしれませんが、 いわゆる「インターネット」をブラウズしたり掲示板に投稿したりする分には全く問題無いですね。 ちなみに Mozilla Firefox FAQ [texturizer.net] には

    • VBScript や ActiveX(必要な場合は追加可能) は標準でサポートしない。これらは IE が持つセキュリティホールの元凶になっている
    • 他社の Java VM より多くの欠陥が見つかっている Microsoft の Java VM を使わない
    とあるので、本質的に IE より安全だと思う。 もっとも、最新の 0.9 は日本語化がまだ対応途中なので、 初心者に入れさせるのは難しいかなぁ、、、少なくとも、週明けとかに「入れろ!」というのは。 (じきに一発でインストールできて日本語対応もバッチリの物を有志が出してくれると期待しているのだが) まあ、アンチウイルスベンダー各社も対応を始めたので、 「パターン上げろ」でしのぐかな。サーバーはどうするかだな・・・ Snort のシグネチャも上げるかな、、、
    • by Anonymous Coward on 2004年06月27日 10時08分 (#577626)
      日本語版インストーラーは既に有志で出ていますね。
      http://shiten.s13.xrea.com/ [xrea.com]
      #これじゃまだ足りない?

      注意点としては、日本語版インストーラーをインストールするときは既にインストールしてあるFirefoxをアンインストールする必要があります。
      親コメント
      • by iwa (2980) on 2004年06月27日 13時49分 (#577710)
        #577545 [srad.jp]で書いたよーにFirefox入れてみたんですが(「荒らし」のモデは納得いかないぞー、ぶつぶつ)、いろいろと不都合が……。(各種設定などで解消はできたけど)
        • Firefox(英語版)を入れると、リソースに関する言語切替設定がなかった。
        • 英語版をアンインストールして日本語版を入れると、一部のメニューが英語版のままだった。言語設定をいじってもだめ。
        • 各種ブラウザ拡張を放り込むと、日本語リソースがあるはずなのに全部英語。
        • 結局これ [fls.moo.jp]を入れて英語→日本語を順番に適用したところでようやく解消。
        今後の修正で改善されていくんだろうけど、まだ初心者に易しいとは言えないよねぇ。
        親コメント

  • Download.Ject に関する情報
    [microsoft.com]

    本家より、削除方法 [slashdot.org]

    下記WEBページにて、感染
    http://www.yetanotherhomepage.com/j7xx/j7xx.html

    (Windows 2000)での削除方法:

    下記、削除:
    C:\Winnt\System32\Swin32.dll
    C:\Winnt\System32\Automove.exe
    C:\Winnt\System32\Trans.exe

    下記レジストリ削除:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    [Adstartup] C:\Winnt\System32\Automove.exe

    レジストリの中のSwin32.dllを探して削除。

    Take out all of the CLSIDs it occurs in.
    上記の意味は私には解りません。
    --
    romfffromのコメント設定
    AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
  • by Anonymous Coward on 2004年06月26日 20時56分 (#577417)
    > 問題を避けるためにMozillaやFirefox, Operaなどの他のウェブブラウザに一時的であっても移行をお勧めします。
    そのブラウザの特性というか特徴、弱点、動作なんかを理解してないと
    移行しても意味ないんじゃないの?
    • マイクロソフトは、インターネットのセキュリティ設定を「高」にして、
      信頼できるサイトを登録して、IEを利用するように
      英語版のこのウィルスの情報 [microsoft.com]で推奨していますが、
      どのサイトが感染しているかわからない状況では、
      IEを使わないというのが、推奨されると思います。

      XPを使っている方はXPのSP2が正式リリースされるまで
      他のブラウザを使うか、現在リリースされているSP2RC2の
      パッチを当てられると良いと思います。(SP2RC2を使って
      いると感染しないそうです。)

      もちろん、あれげな方はIEをカスタマイズして、
      使ったらよろしいとは思いますけど。
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
  • by Anonymous Coward on 2004年06月26日 21時54分 (#577440)
    読売新聞の記事は
    閲覧ソフトのセキュリティーを「高」に設定するよう推奨している。
    と結んでいるけど、これって、マイコンピュータゾーンで動いてしまう欠陥なのだから、インターネットゾーンのセキュリティレベルを「高」にしたって、解決しないよね。

    で、マイコンピュータゾーンの設定をするには、regedit を使わないとできないわけで、一般人にできることではない。

    こんないいかげんな報道してていいのか?

    • マイクロソフトが該当ウィルスの情報で [microsoft.com]このように

      Increase Your Browsing and E-Mail Safety

      推奨しています。 [microsoft.com]
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
    • リンク先を読むと (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2004年06月27日 2時01分 (#577553)
      読売の元記事は

      >マイクロソフト社は、まだ完全な修正ソフトがないため、閲覧ソフトの
      >セキュリティーを「高」に設定するよう推奨している。

      だろ。
      ・ 上記は読売の主張ではなくMSの見解
      ・ MSも完全な対策ではないことを認めている。
      しかもromfffrom氏の書き込みにあるように完全に無意味な対策ではない。
      MSの対策が遅れているのは問題かもしれないが読売の報道としては
      何の問題も無いだろう。

      前後関係を無視して自分の都合のいい部分"だけ"を作為的に抜き出して
      安易な批判を加えるなど、こんないい加減な書き込みしてていいのか?

      #元記事や関連リンクを読めばAC(#577440)と(#577448) のモデレーションはむしろ逆だと思う。
      親コメント
      • by ruto (17678) on 2004年06月27日 11時56分 (#577667) 日記
        MSは

          Use the following steps to update your computer, remove any infection, and increase your browsing and e-mail safety settings.

        と言っています。
        またその下でアンチウイルスソフトのアップデートの推奨と駆除ソフトの入手方法を書いています。

        これらのステップ全てが重要であり、セキュリティー設定について書くだけでは不十分では?
        親コメント
  • by one-one (17888) on 2004年06月26日 20時33分 (#577405) 日記
    一応 こんなのもありますね.
    • by KAMUI (3084) on 2004年06月26日 20時47分 (#577410) 日記
      シマンテック [symantec.com]
      F-Secure [f-secure.com](英語)

      シマンテックの情報にあるイメージファイル(JPEG,GIF)に云々ってのを見て
      このニュース [impress.co.jp]を思い出したんですが・・・関係ないですかね?
      いや,無いなら無いでそれに越した事はないでしょうけど。
      親コメント
      • by one-one (17888) on 2004年06月26日 21時39分 (#577431) 日記

        リンク先のタイトルが うちの環境では↓こんな感じで表示されてしまいました.

        さまざまなアプリケーションを異常終了させるGIF
        画像がネット上に流出

        ネット上に流出って………

        親コメント
        • リンク先の記事で気になったこと。

          >GIF画像になんらかの悪意あるコードが埋め込まれている可能性が高いだろう。

          うーむ、悪意あるコードって、意図的に仕込まれたプログラムコードのことだと思うけど、この記事の場合、そんな代物じゃなくて、単なる不正な(どっか間違った)GIFファイルなだけじゃないかなあ。実物を入手して解析したわけじゃないからわからないけど。

          最初から壊れていた、あるいはいつかどこかで破損したファイルが「流出」したというほうがありそうな気がする。

          「さまざまなアプリケーションを異常終了させる」っていうのは、現象として間違いではないけど、クラッシュしてるのはみなIEコンポーネント使ってるものじゃないですか?だとするとこれは事実上、ある一種類の画像展開ルーチンがクラッシュしているだけなわけで、あるバージョンのIEコンポーネントが不正な画像に対する耐性が低かった、ってだけの話じゃないかという気がするんですが。
          親コメント
  • by jmk (11245) on 2004年06月26日 22時53分 (#577479)
    ×適応
    ○適用
    パッチを適応するでは意味が通らん(「適応する」は自動詞)。
  • by Anonymous Coward on 2004年06月26日 23時03分 (#577481)
    「WindowsやIEを使うな」

    いや、業務上とか見た目とか難癖付けて無理だという低能が多いのはわかってるが。
  • 三菱車なんて、もう近寄るだけでヤバい物みたいな評価になっちゃっている
    わけじゃないですか。修理すれば乗れるとしても…。
    例の番組も“パジェ●”コールしなくなったらしいし。
     
    でも、もう星の数ほど欠陥が見つかってはパッチあててるIEは、
    それでもシェアをおとさないわけです。
    今回のようなことがあっても、だいたい世の中の9割9分くらいの
    IEユーザーはおとなしくパッチが出るのを待つわけです。
     
    命に関わらないことだったら、もう何でも許してオッケーってことなのかな?
     
    • by Anonymous Coward on 2004年06月27日 2時09分 (#577555)
          それでもシェアをおとさないわけです。
          今回のようなことがあっても、だいたい世の中の9割9分くらいの
          IEユーザーはおとなしくパッチが出るのを待つわけです。

      パッチを待ってなどいません。
      無関心で使い続けるのが一般的なユーザーです。

      # /.Jなど見ない近親者にウイルス対策をさんざん説いたけど、糠に釘だった...
      親コメント
  • by iwa (2980) on 2004年06月27日 1時11分 (#577539)
    IEの設定を安全サイドに振るのが面倒だったので(ぉ)、Firefoxに移行してみました。(どちらの方が手間がかかったんだろう^^;)

    普段DonutPを使っているのでそもそも移行できるもんか危惧していたのですが、いくつかブラウザ拡張を放り込むと、意外と悪くない使い勝手です。

    この辺 [kyoto-kcg.ac.jp]を参考に、タブ拡張 [sakura.ne.jp]、マウスジェスチャ [geocities.co.jp]、言語環境設定拡張 [fls.moo.jp]、詳細設定用拡張 [geocities.co.jp]を入れてみたところ、なかなかいい感じに設定できています。

    タブブラウザ使いの人も一度お試しあれ。
  • ご助言どおり (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年06月27日 2時19分 (#577562)
    早速Sleipnirというのに移行してみました:D

    IEより使いやすくていい感じです。
  • 護送船団方式 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年06月27日 10時48分 (#577638)
    結局感染しようと関係ありあせん.
    感染したらみんな感染した.の認識程度で
    これと言った対策をしないのが普通でしょう.(一般は)

    設定の項目がどこにあるのか
    また設定を変えても前の設定が何かすら覚えていない.
    そんな状況で一時的に設定を弄るようなことをいっても
    無駄な気がする.

    IE中心のコンテンツビジネスのは絶対上手くいきませんから
    そろそろ卒業しないといけないのでしょうけど

    #おかしくなったらコンセントの電源を抜き
    #しばらくしてから電源を入れると元に戻る設計の方がまれている気がします.
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...