パスワードを忘れた? アカウント作成
Close
4055 story

アンチウィルスソフトを無効化するBugbearが猛威を振るう 78

ストーリー by Oliver
またメールか 部門より

GetSet 曰く、 "すでに各種メディアで報じられているが、米国時間で9月30日に発見された新種のWindows向けワーム「Bugbear」が大変な猛威を振るっている。例えばPCWEBの伝えるところによれば、BugbearはInternet Explorer(IE)の既知のセキュリティホールを悪用し、メールの添付ファイルとしてユーザーの手元に届くワームであり、既知のセキュリティホール「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」を狙って活動するという。
ワームは起動後に、(1)ウイルス対策・ファイアウォールソフトの停止(2)大量メール送信(3)バックドア活動(4)ネットワーク共有を利用した感染 といった4種類の活動を行う。
注目すべきは(3)のバックドア活動で、これはポート36794を開いて外部からのコマンドを受信するという。ワームが対外的に送信する内容は「ファイルの削除や傍受したキーストローク」「システム情報」などだが、これにはWindowsが持つMpr.dllファイルの非公式関数を利用している、という点が興味深い。
本ワームに対しては、シマンテックが危険度「4」、トレンドマイクロが危険度「中」、日本ネットワークアソシエイツが危険度「高」としている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

アンチウィルスソフトを無効化するBugbearが猛威を振るう More

  • 最初は、ああまた。と思ったですが (スコア:5, 興味深い)

    by oddmake (1445) on 2002年10月06日 22時46分 (#178369) 日記
    これにはWindowsが持つMpr.dllファイルの非公式関数を利用している、という点が興味深い。
    仕様を秘匿しておくことでセキュリティを保つ、という図式が成り立っていない点で興味深いと思いました。
    確かMS関係者は「オープンソースであると内部情報が筒抜けなので安全でない」と主張していた筈ですが、そうともいえないのではと。
    もうすこしMSにはオープンになって欲しいと思います。仕事で使いますからね。

    #私の管轄のWin機は今回も安全です

    --
    /.configure;oddmake;oddmake install

  • これが意味することは・・・ (スコア:3, すばらしい洞察)

    by gachon (4163) on 2002年10月06日 21時37分 (#178321) ホームページ
    1年以上前のある意味古いテクニックが未だに有効ということは
    なんだかんだいってみんなパッチをちっとも当てないんだね。
    逆にアンチウイルスソフトウエアいれてあるから大丈夫と油断している
    (あるいはそれだけで完璧)と思っている人がたくさんいるってことかもしれんが
    • > 1年以上前のある意味古いテクニックが未だに有効ということは
      > なんだかんだいってみんなパッチをちっとも当てないんだね。

      MSN 自体がそうだった [srad.jp]んだから、特に驚くには当たらないのでは。

      > 逆にアンチウイルスソフトウエアいれてあるから大丈夫と
      > 油断している(あるいはそれだけで完璧)と思っている人が
      > たくさんいるってことかもしれんが

      元の勤務先がそうでした。
      遠くから聞いたところ、インストーラを起動させてウィザードの
      通りに片付けたので、利便性が損なわれて、マシン負荷が増大
      しただけだそうな。
      シェア
      親コメント

    • Re:これが意味することは・・・ (スコア:2, おもしろおかしい)

      by wabix (3594) on 2002年10月06日 22時35分 (#178361) ホームページ
      Windows Update の存在を知ってても、例えば。

      パソコン複数台持ってて、
      知人の PC まで面倒見てる身としては、
      「たしか、再インストールしたけど、あの PC 、 Update したっけ?」
      とか、ってことないですか?

      ...ああ、そうですか。ないですか。

      じゃあ、
      「この業務用パソコンは規定以外の使い方はしないでください。」
      とか注意書きがあって、やっぱり Update しないとか。
      しないといけないんじゃないの?とか言っても、関係ないからとか言われたりとか。
      とか!

      ...ああ、そうですか。ないですか。
      シェア
      親コメント
      • > じゃあ、
        > 「この業務用パソコンは規定以外の使い方はしないでください。」
        > とか注意書きがあって、やっぱり Update しないとか。

        Windows2000 で、こないだ出た IE6SP1 がなぜか「重要な更新」に入ってて (IE6 本体はお薦めアップデートだったのに)、ついうっかり入れちゃったら IE5.5 限定の社内アプリが動かなくなったりならなかったり。
      • >「この業務用パソコンは規定以外の使い方はしないでください。」

        うちの会社のPCは初代IE4が入ってるのもあったりする。社内のネットワークを閲覧する限りはあまり危険性を感じない。(仕事用の資料が詰まってるサイト等)

        外を見に行けば危険は当然と待ちかまえている訳

    • Re:これが意味することは・・・ (スコア:2, 興味深い)

      by ktoshiharu (8209) on 2002年10月07日 14時42分 (#178881) 日記
      先日、久々にnifでチャットをしまして、その時のメンバは私を入れて7人ほど
      どうやら私以外は20歳前後のようでしたが…

      なんと、その内アンチウィルスソフトをインストールしているのは私のみ
      WindowsUpdateなぞ何をいわんや…という状況でした。

      世間と自分の常識の差を見せつけられた夜でしたなあ…

      #どうやら世間はそんなものらしいっす(涙)
      シェア
      親コメント
    • > なんだかんだいってみんなパッチをちっとも当てないんだね。
      みんなWindows Updateしないのかねぇ?Windows UpdateしたらMS01-020なんて致命的な穴はまずふさがると思うんだけどなぁ。セキュリティ情報を詳しく見ない一般ユーザでもWindows Updateくらいはしてるだろう、というのすら過剰な期待なんだろうか。

      // ルータのポートフィルタリングを厳しめにしたらWindows Updateが正常に動かなくなった…。port80以外にも何か使ってるのか…?
      シェア
      親コメント
      • > セキュリティ情報を詳しく見ない一般ユーザでもWindows Updateくらいはしてるだろう

         してないでしょうね。いくらADSLなユーザーとかが増えたと言っても100%にはなってないんですから、アップデートもモデムではツライ。
         なんとかアップデートファイルが小さな容量にでもなってくれないと、Windows Updateがあるってのを知っていても実行してくれない気がします。パソコン雑誌のCD-ROMとかに収録したとしても、パソコン雑誌自体が売れてないですし……。気分はクライっす
        --
        ウエキョン校長
        シェア
        親コメント
        • 寝る前に仕掛けておけばいいんぢゃないの?
          確かに ISDN以下の低速回線だとちょっとつらいかもしれないが。
          --
          by rti.
          シェア
          親コメント
          • 寝る前に仕掛けておけばいいんぢゃないの?
            最近の巨大SPあたりだと、寝る前に仕掛けても朝までに終わらないのではないかと(^^;)
            特にモデムとかAirH"とかISDN未満の回線だと、理想的な条件でも10MB/h程度ですから、100MB以上もあるWin2000SP3あたりでは、数日間ぶっ続けでダウンロードする羽目になります。
            あと、既出ですが途中で不意に確認ダイアログが出たりしますし。
            シェア
            親コメント
          • 朝起きるとソフトウェア許諾なんちゃらのYES/NOにひっかかっている罠。

            # チャチャなのでAC
          • 朝になったら、YES/NOのダイアログで止まってて何もDLされていない罠。

            どのタイミングでダイアログボックスが出るか予期しにくい、というのも問題かと。
            作業に入る前に、拘束される時間を見積れないのはかなりつらい。
            まあ、慣れれば大体予想が付くけど、慣れるほど頻繁にやらなきゃいけない、というのもなんだか不健全な感じがしてしまふ、、、
        • なるほど。確かにあのパッチのサイズは、電話線でダイアルアップしてると辛いものがありますね。

          しかも、MS01-020はIEのパッチだから、WindowsのService Packみたいにまとめたものが雑誌に載ることもない(IEはなぜか雑誌掲載されない)。とすると、かなり厳しいですね^^;
          シェア
          親コメント
        • 私の会社では、プロクシの段階でWindows Updateサイトへの接続が禁止されてます。
          おかげで、いまだにIE5.0が現役だったりします。

          まっさらのIE5.5は、どこかのCDに収録されたとか聞いたことはあるんですが、見たこと無いしなぁ。
          そもそもまっさらのIE5.5なんて、今更怖くて使えない?

          Office97は、一応、2000年問題対策サービスパックまではCDで持ってるんですけどね。

          だから、OSそのもの(ウチの部署ではWin98SEがメイン)の具合も推して知るべし、てなもんで。

          これで何かあったら対策に駆け回るのは私。あうぅ……
          シェア
          親コメント
        • WindowsUpdateするとWindows2000を修復インストールしなおさないと
          起動しなくなるもんで。
          怖くてシステム系のアップデートは出来ません。
          シェア
          親コメント

      • Re:これが意味することは・・・ (スコア:2, 参考になる)

        by Anonymous Coward on 2002年10月06日 22時45分 (#178368)
        > // ルータのポートフィルタリングを厳しめにしたらWindows Updateが正常に動かなくなった…。port80以外にも何か使ってるのか…?

        たぶん 443 ではないかと。
        シェア
        親コメント
        • たぶん 443 ではないかと。
          仰るとおりでした。httpsを通すの忘れてた…^^; Windows Updateってちゃんと暗号化してやりとりしてたんですね。(そりゃそうか)
          どうもありがとうございました。
          シェア
          親コメント

          • Re:これが意味することは・・・ (スコア:2, 参考になる)

            by moon (3001) on 2002年10月07日 0時32分 (#178474)
            443を通さないとエラーになるわけじゃなくて
            「アップデートが完了している」のと同じメッセージに
            なるのだよね、Windows2000Serverの場合。

            この仕様にだまされてる管理者(ヤツ)もいるんだろうな。
            シェア
            親コメント

            • Re:これが意味することは・・・ (スコア:2, 参考になる)

              by Crisp (10852) on 2002年10月07日 0時48分 (#178495)
              443を通さないとエラーになるわけじゃなくて
              「アップデートが完了している」のと同じメッセージに
              なるのだよね、Windows2000Serverの場合。
              確かに、「現在適用可能な更新はありません」みたいな表示が出ますね。よ~く見ると、更新の種類の「Windows」欄や「更新の履歴」あたりが灰色表示になってて何かおかしいと気づくんですが…。

              正常な状態のWindows Updateを見慣れてないと難しいかも…。
              シェア
              親コメント
            • これは、https が通らないと
              1. ローカルホストの情報がアップロードできない
              2. アップデートサーバがどれを通知していいか判断できない
              3. 更新が 0 件で処理されてしまう
              という流れだとおもっていいんですかね? だとしたら仕様ミスでしょうか。こういう場合は 「ローカルコンピュータの情報をアップロード出来ませんでした」 等のメッセージを出さないといけないですよねぇ?
              シェア
              親コメント

      • Re:これが意味することは・・・ (スコア:2, 参考になる)

        by USH (8040) on 2002年10月07日 0時21分 (#178455) 日記

        セキュリティ情報を詳しく見ない一般ユーザでもWindows Updateくらいはしてるだろう、というのすら過剰な期待なんだろうか。
        // ルータのポートフィルタリングを厳しめにしたらWindows Updateが正常に動かなくなった…。port80以外にも何か使ってるのか…?

        以前、職場のWindowsをupdate しようとして、ルータの設定の厳しさのせいか、update が途中でハングってしまったことがあります。とりあえず5、6時間おいときましたが、埓があかず、MSのサポートに電話しても、もっと待つかブートしかないとのこと。で、しかたなくブートすると、「アップデート中にやめると、システムがこわれるかもしれないが、よいか」という趣旨のおどしのポップアップが出る始末。サポートにねじこんでも、しかたないの一点張り。

        まあ、こんな経験があったせいで、クリーンインストールのとき以外は恐くてアップデート使いません。幸い、ほとんどの仕事は Linux でやるおかげで、ワーム、ウイルスの類にかかったことはないです。MS の製品のバグでデータが消えたことは多々ありますが。
        シェア
        親コメント
      • 自分のパソコンが危険な状態にあるってことを認識できていなのだと思います。
        危ないのを知っていれば、WindowsUpdateくらいなら実行する気になってくれるでしょう。

        前から思っているのですが、家電製品の梱包を開けたときに「注意!!」とか派手に書いてある紙が入ってることありますよね。
        あんなふうにパソコンにも、
        「セットアップがすんだら、安全のために最初にWindowsUpdateを実行してください」って注意書きと、操作説明を入れられないものでしょうか...
        たった1枚の紙の追加費用だけで、それなりに効果は大きいそうに思うのですが...
        シェア
        親コメント
      • ひと月に数回くらい,「これ,古くなってるからアップデートしよう」と
        いったメッセージが出て来ます.殆ど毎回「インストール」にしてるけど
        特にトラブルなし.

        # 内部の個人情報を抜かれてると思うと,気持ち悪いが.

        Win はこういうの,思いつかなかったんだろうか?

        そういえば,MacOS X って httpd やら ftpd やら,サーバ機能てんこ盛り
        だけどあまりセキュリティホールが騒ぎにならないなぁ.シェアが低いから?
        シェア
        親コメント

        • Re:ちなみに MacOS X では (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2002年10月07日 16時12分 (#178946)
          > ひと月に数回くらい,「これ,古くなってるからアップデートしよう」と
          > いったメッセージが出て来ます.殆ど毎回「インストール」にしてるけど
          > 特にトラブルなし.
          > Win はこういうの,思いつかなかったんだろうか?

          誰かがどっかで書いてる「更新の自動通知」がそれ。
          そして誰も使ってないのも誰かがどっかで書いてる。
          さらに更新そのものを嫌がっている奴が少なくないのも見てのとおり。
          シェア
          親コメント

    • Re:これが意味することは・・・ (スコア:1, フレームのもと)

      by zeissmania (3689) on 2002年10月06日 22時26分 (#178357)
      >なんだかんだいってみんなパッチをちっとも当てないんだね
      だってパッチ当てようと思ったら、M$のサーバーがウィルスに感染しちゃったんだもん (^^;;;;
      パッチ当てようにも、アクセスするとこっちまで感染してしまうんじゃあ、どうせいつーのよ?
      パッチ当てると動かなくなるという話も多いから、本当にアップデートして大丈夫??というのもあるしさ~。
      #もっとも私はネットに接続するときはLinuxなので、Windowsは放置プレイということもあるけど。
      シェア
      親コメント

      • Re:これが意味することは・・・ (スコア:1, 興味深い)

        by Anonymous Coward on 2002年10月06日 23時38分 (#178415)
        >M$のサーバーがウィルスに感染しちゃったんだもん (^^;;;;

        Windows Update経由でウイルスに感染する可能性ってありましたっけ?
        MSN経由で感染するってのは聞いた事があるのですが。
        シェア
        親コメント
    • まぁ、アンチウイルスソフトいれて一安心するのが、ユーザーとして当然の心理なのでしょう。
      ウイルス発見 -> パッチあて -> 別のウイルス発見 -> パッチあて...
      という繰り返しは、よく考えてみれば不毛な世界であるのだが、そういうやりとりを横目で見ながらおもしろがるのもネットの醍醐味であると思う。


      本音:
      わはは、またM$だ。わはは。
      --
      // Give me chocolates!
      シェア
      親コメント
      • >よく考えてみれば不毛な世界であるのだが

        まぁ、相手は人間ですから。
        根本的に原因を排除しない限りはイタチごっこでしょう。

        Windows Updateに限った事では無いですけどね:p

    • Re:これが意味することは・・・ (スコア:1, 参考になる)

      by Anonymous Coward on 2002年10月06日 22時54分 (#178378)
      最近のWindowsはバックグラウンドでUpdateの確認/ダウンロード、とインストールをさせられるんですけどねぇ。
      一般の方々はこの便利な機能使わないのだろうか。

      # でも"自動更新"は最初からついていた機能じゃない気がする(激しくうろ覚え
      # MSはUpdateをこまめにしないユーザのせいで被害を被るユーザのために自動更新は強制ONにしておくべきじゃないのか。
      シェア
      親コメント

      • Re:これが意味することは・・・ (スコア:3, 参考になる)

        by foota (10594) on 2002年10月07日 0時00分 (#178442) 日記
        たぶん全自動Update(デフォルトON)は98ME以降でしょうか。
        98,98SEは更新通知は後からインストールできますが、
        Updateのページに飛ぶだけだったような。

        まあそれなりにUpdateも便利なんですが、
        とりあえずUpdateの最中にIEが落ちるのは勘弁して…
        #フリーソフトと干渉しているような気もするが
        #結局原因不明のままいつの間にか復旧(w

        あと他の人も書いてましたが、
        IE5.5環境のマシンにIE6SP1を重要な更新で通知するのやめて…
        プロパティの設定で非通知にしてもしつこく勧誘してくるし。
        結局通知機能アンインストールに至りました。
        #5.5でも重いウチのボロマシンにIE6なんて恐ろしくて入れられない(w

        別にアンチMSではないんですが、MS製品の何が嫌かって、
        ユーザーの意図しない自動化が一番イヤだったり。

        シェア
        親コメント
      • 大学の学内情報掲示板にWin2000が使われています。
        ときどき画面に「重要な更新が(以下略)」と表示されて
        掲示板の情報内容が読めません。

        切れよ。>管理者
        --
        [udon]
        シェア
        親コメント
      • 自動更新は最近の機能ですね。
        Windows Update の「推奨する更新」に登場したのは SP2 以降だったと思います

        SP3 にはこの機能が組み込まれているので、ご利用いただくと良いかも
        ウチの会社では先週末までに全ての Win2k クライアントに SP3 の適用を終えました。

        シェア
        親コメント
      • 知っている会社s(複数形)は、どこも強制offです。理由あってのことですけれど。

        # あたりまえなのでAC

        • Re:これが意味することは・・・ (スコア:1, 興味深い)

          by Anonymous Coward on 2002年10月06日 23時26分 (#178399)
          私も W2K では Active Directory で強制 OFF にしています。 さらに、サーバURLは社内の SUS (Software Update Services) サーバを指しています。Update するときには、社内の SUS のポリシーが適用されるようにしています。
          シェア
          親コメント
    • パターンファイルの自動更新は行うのに
      Windowsアップデートを行わない人は多いですね。

      ま、大体、面倒くさいと言われるんですけど。
      --


      .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
      I 1 2 B H4[keR. :-)
      シェア
      親コメント
      • パターンファイルの更新だったら、
        終了時にマシンの否応なく再起動を要求されないし、
        その後再起動でマシンが挙動不審になったり、
        あまつさえ次回起動時に青画面フリーズ出したと聞いたことはないから気楽にできるんだけどねぇ。

        意図してのパッチ当てでも”もしも、これで次回起動時に無事起動しなかったら”とか
        ビクビクものなのに自動でのアップデートなんてゾッとしてしまいますわ(´д`υ
        シェア
        親コメント
    • みんながWindowsUpdateをちゃんと実行するようになったら、
      アンチウィルスソフトウェアの存在価値が、またひとつ減ってしまうではないですか!
      セキュリティパッチのあて方は、難しくて、面倒なほうがいいんです。
      シェア
      親コメント
    • 以前、ダイヤルアップ接続の時は危険だと知ってても時間と通話料のことを考えるとパッチはなかなかあてられなかった。
      住所を登録している、正規ユーザーには半年に一度程度でもいいから、無償で修正用のCD-ROMぐらい送れってんだ

      いい加減、自社製品の不具合をユーザーに費用を負担させ、ユーザーの責任で修正させる商売は止めてほしい。
      シェア
      親コメント

  • Mpr.dllファイルの非公式関数 (スコア:1, 参考になる)

    by Anonymous Coward on 2002年10月06日 23時30分 (#178402)
    既に前例 [google.com]があるみたい。そもそもウィルスやトロイの木馬とかって隠し機能を使って自身の存在を秘匿するとか色々やってるんで目新しいことじゃないと思う。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson