日本のセキュリティチーム (Japan Security Team) : Autorun

セキュリティインテリジェンスレポート第7版(2009年上半期)

JSECTEAM — Mon, 02 Nov 2009 20:07:00 GMT

小野寺です。

2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティインテリジェンスレポート (SIR) 第7版を公開しました。
本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。

研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。

マイクロソフトセキュリティインテリジェンスレポート v7
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

さて、今回も感染率で色分けした、世界地図から確認してみます。
今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。

これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。

このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。

最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。

自動実行(自動再生/AutoPlay/Autorun)の動作変更

JSECTEAM — Fri, 28 Aug 2009 12:24:00 GMT

小野寺です。

先日、セキュリティアドバイザリ 967940を更新して、自動実行の動作を変更する更新プログラムの提供を開始したことをお知らせしました。

Windows 7からは、CD-ROMやDVDなどのメディア以外のUSBメディア (Mass storage device等) では、自動実行機能が働かないように動作仕様を変更しています。

この変更をWindows Vita, Windows XP, Windows Server 2003にも反映させるための更新プログラムをサポート技術情報 971029から提供しています。

この変更により、USBメモリ等による自動実行は行われなくなりますが、USBメモリでの自動実行を期待するソフトウェア入りのUSBメモリでは、手動でソフトウェアを実行する必要が出てくるかもしれません。また、USBを利用したWireness LANの自動設定機能なんかも影響をうけます。

この更新を利用する際には、互換性に十分、注意して適用する必要があります。

また、この更新は、あくまでも自動実行機能の動作を変更するためのもので、USBからのウイルス感染を防ぐものではありません。USBメモリを接続して、USBメモリ内の実行ファイル(ウイルス)をクリックして実行してしまえば、ウイルスに感染します。ウイルス対策ソフトも引き続き最新の状態で使うことを忘れずに

セキュリティインテリジェンスレポート第6版(2008年下半期)

JSECTEAM — Thu, 09 Apr 2009 04:30:00 GMT

小野寺です。

2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティインテリジェンスレポート (SIR) 第6版を公開しました。本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果の概要は、日本語でご覧いただけます。この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

マイクロソフトセキュリティインテリジェンスレポート
http://www.microsoft.com/japan/sir/

さて、恒例？の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。

さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか？日本も、マルウェアを配布してしまっている事が分かります。これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。

この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。

この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。
サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。

Conficker.C (Downadup)

JSECTEAM — Fri, 27 Feb 2009 06:21:00 GMT

小野寺です。

Conficker (Downadup)について、Conficker.C という新しい種が出て、「今までの対策が無効に！」等と刺激的な言葉を散見しますが、以前お知らせしたConfickerの対策を行っていれば、Conficker.Cの感染を防ぐ事は可能です。ただ、感染してしまった場合は、従来のConficker以上にバックドア機能やファイルのダウンロード機能が強化されているため、別の脅威が感染PCに持ち込まれる可能性があります。
Confickerに関するまとめ対策等をまとめた記事は、「Conficker(Downadup)ワームに関するまとめ」をどうぞ

以下に、Conficker.C の情報の日本語抄訳を転記しておきます。

-----

別名:
TA08-297A (その他)
CVE-2008-4250 (その他)
VU827267 (その他)
Conficker B++ (その他)

概要:
Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブルドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。また、重要なシステムサービスやセキュリティ製品などが無効にされます。

マイクロソフトは、ユーザーがセキュリティ情報 MS08-067 のセキュリティ更新プログラムを直ちに適用することを強く推奨します。また、マイクロソフトはユーザーが脆弱な管理者パスワードを介して蔓延するこのワームから防御するため、強固なネットワークパスワードを使用するよう推奨します。詳細情報はこちらをご覧ください。

現象
システム設定の変更:
マルウェアが存在する場合、次のようにシステムが変更される可能性があります:

次のサービスが無効になる、または実行しなくなります:
Windows Update Service
Background Intelligent Transfer Service (BITS)
Windows Defender
Windows Error Reporting Services
次のレジストリが変更されたことで、ネットワーク上で大量のコネクションを作成し、ログオンを試行します。そのため、アカウントロックアウトが発生しやすくなる場合があります。
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"
ユーザーは次の文字列が含まれている Web サイトまたはオンラインサービスに接続できなくなる場合があります。
virus, spyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate

技術情報:

Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブルドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。重要なシステムサービスやセキュリティ製品などが無効にされます。

インストール:

Win32/Conficker.C は Windows のシステムフォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。それが失敗した場合、次のフォルダーに同じパラメーターを使用してそれ自身をコピーしようとします。

%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker

次のレジストリエントリを作成し、Windows が起動する際にドロップされたコピーを常に実行させます。

追加の値: "<random string>"
データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、システムファイル svchost.exe で netsvcs グループをダウンロードした場合に、それ自身を起動のサービスとしてダウンロードするようにします。さらに、それ自身を次のキーで登録して、偽のサービスとしてロードさせる可能性があります:

HKLM\SYSTEM\CurrentControlSet\Services

次の文字列から 2 種類を組み合わせた表示名を使用する場合があります:

Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

さらに、ランダムな文字を組み合わせて、表示名を作成する場合があります。

蔓延方法

脆弱なパスワードを用いて共有ネットワークで蔓延する
Win32/Conficker.C はネットワークでマシンを感染させようとします。

まず、現在ログオン中のユーザー権限で、標的のマシンの ADMIN$ 共有へそれ自身のコピーをドロップしようとします。
この方法が失敗した場合 (例: 現在のユーザーに必要な権限がない)、標的のマシンでユーザーアカウントの一覧を入手します。その後、各ユーザー名および下記の脆弱なパスワードを用いて標的のマシンへ接続しようとします。

123, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 123123, 12321, 123321, 123abc, 123qwe, 123asd, 1234abcd, 1234qwer, 1q2w3e, a1b2c3, admin, Admin, administrator, nimda, qwewq, qweewq, qwerty, qweasd, asdsa, asddsa, asdzxc, asdfgh, qweasdzxc, q1w2e3, qazwsx, qazwsxedc, zxcxz, zxccxz, zxcvb, zxcvbn, passwd, password, Password, login, Login, pass, mypass, mypassword, adminadmin, root, rootroot, test, testtest, temp, temptemp, foofoo, foobar, default, password1, password12, password123, admin1, admin12, admin123, pass1, pass12, pass123, root123, pw123, abc123, qwe123, test123, temp123, mypc123, home123, work123, boss123, love123, sample, example, internet, Internet, nopass, nopassword, nothing, ihavenopass, temporary, manager, business, oracle, lotus, database, backup, owner, computer, server, secret, super, share, superuser, supervisor, office, shadow, system, public, secure, security, desktop, changeme, codename, codeword, nobody, cluster, customer, exchange, explorer, campus, money, access, domain, letmein, letitbe, anything, unknown, monitor, windows, files, academia, account, student, freedom, forever, cookie, coffee, market, private, games, killer, controller, intranet, work, home, job, foo, web, file, sql, aaa, aaaa, aaaaa, qqq, qqqq, qqqqq, xxx, xxxx, xxxxx, zzz, zzzz, zzzzz, fuck, 12, 21, 321, 4321, 54321, 654321, 7654321, 87654321, 987654321, 0987654321, 0, 00, 000, 0000, 00000, 00000, 0000000, 00000000, 1, 11, 111, 1111, 11111, 111111, 1111111, 11111111, 2, 22, 222, 2222, 22222, 222222, 2222222, 22222222, 3, 33, 333, 3333, 33333, 333333, 3333333, 33333333, 4, 44, 444, 4444, 44444, 444444, 4444444, 44444444, 5, 55, 555, 5555, 55555, 555555, 5555555, 55555555, 6, 66, 666, 6666, 66666, 666666, 6666666, 66666666, 7, 77, 777, 7777, 77777, 777777, 7777777, 77777777, 8, 88, 888, 8888, 88888, 888888, 8888888, 88888888, 9, 99, 999, 9999, 99999, 999999, 9999999, 99999999

Win32/Conficker.C の標的のマシンへのアクセスが成功した場合 (例: 入手したユーザー名と上記のパスワードのひとつを組み合わせて、マシンで特権を獲得した場合)、ADMIN$\System32\<random letters>.dll として、それ自身をアクセス可能な admin 共有へコピーします。

スケジュールされたリモートジョブを作成する
リモートでマシンを侵害すると、Win32/Conficker.C は “rundll32.exe <malware file name>.dll,<malware parameters>" コマンドを使用して、次の画像のように、スケジュールされたリモートジョブを作成します。

マップされたドライブおよびリムーバブルドライブ
Win32/Conficker.C はすべてのマップされたドライブおよびリムーバブルドライブに、ランダムなファイル名でそれ自身のコピーをドロップする可能性があります。このワームはこれらのドライブのルートに、フォルダー名 'RECYCLER' (Windows XP およびそれ以前のバージョン。 "RECYCLER" フォルダーは "ごみ箱" を示します) を作成します。
そして、次のようにワーム自身をコピーします:

<drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll

%d はランダムに選択された文字です。ワームは関連の autorun.inf ファイルもドロップし、ドライブにアクセス、自動再生が有効にされた場合にワームのコピーを実行するように仕掛けます。この autorun.inf ファイルは Worm:Win32/Conficker.B!inf として検出されます。
下の画像は、ユーザーが感染した共有ファイルにアクセスした場合に、どのようにワームが起動されるかを示しています:

最初のオプションでは、［フォルダーを開いてファイルを表示］ (open folder to view files) が表示されますが、このオプションは［プログラムのインストールまたは実行］ (Install or run program) の下にあるため、フォルダーを開くと実際にアプリケーションが実行されることに注意してください。
また、ワームを実行する動作は [発行先は指定されていません] (Publisher not specified) であることを留意してください。上の画像の [全般オプション] (General options) の下のハイライトされている部分を選択した場合、ユーザーは共有ファイルを表示できますが、ワームのコピーを実行できません。

MS08-067 HTTP の「コールバック」
Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性に対する更新プログラムを適用していないシステムで蔓延します。
脆弱性が悪用された場合、このワームは標的のコンピューターに、HTTP プロトコルで (ワームによって開かれた 1024 から 10000 の間の) ランダムポートを使用して、ワームのコピーをダウンロードさせようとします。この脆弱性については、マイクロソフトセキュリティ情報 MS08-067 で説明しています。

ワームの影響

メモリで NETAPI32.DLL を修正する
Win32/Conficker はメモリで 'NETAPI32.DLL' を修正し、セキュリティ情報 MS08-067 で解決した脆弱性への再感染およびそれ以上の悪用を防ぎます。

実行可能な URL のリンク先をダウンロードする
この亜種は、受信した shellcode (シェルコード) の特定のパターンを確認して、その起源が Win32/Conficker かどうか、shellcode に保存されている更新されたペイロードの URL を特定します。Win32/Conficker.C は Windows 2000 のマシンに \\.\pipe\System_<computer name>7 の名前付きパイプを作成します。

このワームはスレッドを作成し、パイプからダウンロード、認証および実行まで http URL のリンク先を継続的に許可します。

システム構成の改ざん
Win32/Conficker.C はシステム構成を変更するため、ユーザーは隠しファイルを表示できません。これは次のレジストリエントリが変更されることで起こります。

追加値: "CheckedValue"
データ: "0"
サブキー:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

また、多数の同時接続を許可するシステムの TCP 構成を変更します。 0x00FFFFFE は 16 進 (16,777,214 10 進値/デシマル値) です。

追加値: "TcpNumConnections"
データ: "0x00FFFFFE"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP サービスを再起動させようとします。ドロップされたこのファイルは Trojan:WinNT/Conficker.B として検出されます。

TCP/IP の起動を無効にし、サービスを終了および無効にする
Win32/Conficker.C は次のコマンドを実行して Vista の TCP/IP の自動チューニングを無効にします。

netsh interface tcp set global autotuning=disabled

このワームは、以下のような重要なシステムサービスのいくつかを終了させます:

Windows Security Center のサービス (wscsvc) – ユーザーに、セキュリティの構成を通知します (例: Windows update、ファイアウォールおよびウイルス対策)

Windows Update Auto Update サービス (wuauserv)

Background Intelligence Transfer Service (BITS) – Windows Update で使用され、アイドル状態のネットワークの帯域幅を使用して更新プログラムをダウンロードします。

Windows Defender (WinDefend)

Error Reporting Service (ersvc) – マイクロソフトにエラーレポートを送信し、ユーザーエクスペリエンスの改善に役立ちます。

Windows Error Reporting Service (wersvc)

Win32/Conficker.C は、Windows Defender のレジストリキーを削除し、システムの起動の際に実行しないようにします。

削除される値: "Windows Defender"
サブキー: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

また、次の文字列が含まれているモジュール名を持つすべてのプロセスが、ネットワークトラフィックまたはデータ送信が無効になります (注: これらのほとんどの文字列がウイルス対策およびセキュリティソフトウェアに関連しているため、製品が署名の更新を入手できなくなり、これらの文字列が含まれている URL の Web サイトにユーザーがアクセスできなくなる可能性があります)。

virus, , pyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate

システムの復元ポイントをリセットする
Win32/Conficker.C はコンピューターシステムの復元ポイントをリセットし、システムの復元を利用してリカバリができなくなる可能性があります。

インターネット接続を確認する
Win32/Conficker.C は、次の Web サイトに接続を試行し、システムのインターネット接続の状態を確認します。

aol.com ; cnn.com ; ebay.com ; msn.com ; myspace.com

任意のファイルをダウンロードする
システムの日付により、Win32/Conficker.C は 2009 年 1 月 1 日からのファイルをダウンロードするため、下の形式で URL を作成する可能性があります。

http://<pseudo-random generated URL>/search?q=%d

生成された URL はシステムの現在の日付に基づいています。
作成された URL は以下の最上位のドメインのひとつを使用します。

cc, .cn, .ws, .com, .net, .org, .info, .biz

作成された URL の例は次の通りです:

aaovt.com, aasmlhzbpqe.com, addgv.com, ajsxarj.org, apwzjq.ws, aradfkyqv.org, arztiwbeh.cc, baixumxhmks.ws, bfwtjrto.org, bfwvzxd.info, bma, qlhulq.cc, byiiureq.cn, cbizghsq.cc, cbkenfa.org, ciabjhmosz.cc, cruutiitz.com, ctnlczp.org, ctohyudfbm.cn, dcopyoojw.com, djdgnrbacwt.ws, dmwemynbrmz.org, dofmrfqvis.cn, doxkknuq.org, dozjritemv.info, dyjsialozl.ws, eaieijqcqlv.org, eewxsvtkyn.net, eidqdorgmbr.net, eiqzepxacyb, cn, ejdmzbzzaos.biz, ejmxd.com, ejzrcqqw.net, ekusgwp.cc, eprhdsudnnh.biz, evmwgi.ws, falru.net, fctkztzhyr.org, fdkjan.net, fhfntt.org, f, spuip.biz, fjpzgrf.net, fkzdr.cn, ftjggny.com, fuimrawg.info, ghdokt.cn, glbmkbmdax.biz, gmhkdp.org, gocpopuklm.org, grwemw.biz, gtzaick.c, , gxzlgsoa.info, gypqfjho.info, hduyjkrouop.info, hfgxlzjbfka.biz, hkgzoi.com, hliteqmjyb.net, hmdtv.ws, hoyolhmnzbs.net, hprfux.cc, hqbtt, qr.org, hueminaii.org, hvogkfiq.info, ifylodtv.ws, iivsjpfumd.ws, ilksbuv.cn, imuez.biz, izxvu.biz, jaumgubte.biz, jhbeiiizlfk.cn, jrdzx.c, , jshkqnnkeao.biz, judhei.com, jxfiysai.cc, jzoowlbehqn.info, karhhse.com, kbyjkjkbb.info, kjsxokxg.org, krudjhvk.org, kuiwtbfa.org, lauow, ef.cn, lhirjymcod.net, liugwg.net, lksvlouw.ws, llgkuclk.info, lnpsesbcm.cn, lssvxqkqfmf.org, lygskbx.cc, mafwkeat.cn, mgqrrsxhnj.com, mhk, psbuh.cc, mknuzwq.cc, mqjkzbov.net, myfhc.com, navjrj.org, nbpykcdsoms.com, ncbeaucjxd.org, npfxmztnaw.cn, nuiptipwjj.cc, nvpmfnlsh.ws, oa, wongs.ws, odvsz.net, okkpuzqck.ws, oqolfrjq.cn, orduhippw.cn, orpngykld.com, orxfq.ws, othobnrx.org, otnqqaclsgx.info, otukeesevg.biz, pbf, hhvzkp.cc, pbpigz.cn, pcnpxbg.cc, pdfrbmxh.biz, pfdthjxs.cc, phaems.cc, phetxwmjqsj.cc, pmanbkyshj.ws, pnjlx.cc, ppzwqcdc.cc, psabcdq.cc, , tdlwsi.cn, pvowgkgjmu.biz, pwsjbdkdewv.info, qbuic.com, qdteltj.org, qeotxrp.com, qfeqsagbjs.biz, qfhqgciz.org, qfogch.com, qijztpxaxk.cn, qlqrgqordj.ws, qpiivu.cn, qpuowsw.cc, qqbbg.cc, qrrzna.net, qvrgznvvwz.ws, qwdervbq.org, qwnydyb.cc, qzbpqbhzmp.com, rkfdx.org, rpphv.org, , skvraofl.info, ryruatsot.biz, sdkhznqj.info, sezpo.org, sfozmwybm.com, skwmyjq.org, solmpem.com, sqmsrvnjits.cc, stlgegbye.net, syryb.org, tdwrkv.ws, tfpazwas.cc, tigeseo.org, tjyhrcfxuc.cn, tkbyxr.ws, tlmncy.cn, tmlwmvv.ws, tnerivsvs.net, tomxoa.org, trpkeyqapp.net, tyjtkayz.c, m, uazlwwiv.org, ucgqvyjgpk.cn, uixvflbyoyi.biz, ujawdcoqgs.org, upxva.net, uuvjh.biz, uzugvbnvs.cn, vgmkhtux.ws, vjllpcucnp.cn, vkgxgxto., om, vwiualt.com, waxggypgu.org, wccckyfrtf.net, wfdnvlrcb.org, whjworuc.com, wmiwxt.biz, wohms.biz, wqqfbutswyf.info, wsdlzmpbwhj.net, xic, ytmeger.cc, xkjdzqbxg.cn, xldbmaztfu.biz, xlwcv.cn, xqbovbdzjz.info, xwbubjmhinr.info, yfpdcquil.info, yfybk.ws, yhrpqjhp.biz, yoblqeruib., rg, yoyze.cc, yshpve.cc, ysrixiwyd.com, ytfvksowgul.org, ywsrtetv.org, yzymygez.biz, zcwjkxynr.com, zfgufbxi.net, zkimm.info, zmoeuxuh.ws, zokxy.net, zqrsbqzhh.cc, zttykt.info, zutykstmrxq.ws

システムの日付が 2009 年 1 月 1 日またはそれ以降であるかどうかを確認します。また、次の Web サイトの日付を確認して、おそらく検証を行います:

baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org

自動再生 (Autorun) & Excel 0-day

JSECTEAM — Wed, 25 Feb 2009 01:26:00 GMT

小野寺です

本日、2つのセキュリティアドバイザリを新たに公開しました。

アドバイザリ 968272 (Excel):
Microsoft Office Excel の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/968272.mspx

このアドバイザリでは、Excelの脆弱性が標的型攻撃で悪用され、ユーザーが、特別な細工を施されたファイルを開く事で不正なコードが実行される可能性がある事をお知らせするものです。この脆弱性に対するセキュリティ更新プログラムは、調査・検討中で、現時点では、まだ提供しておりません。

Excel 2007 で、Excel 2003以前のファイル形式 (*.xls等) を開く際に、この脆弱性が悪用される可能性がありますので、以前から提供している MOICE とファイルブロッカー等を使用する事で今回の脆弱性が悪用される可能性を回避する事ができます。

アドバイザリ 968272 (Autorun):
Windows Autorun (自動実行) 用の更新プログラム
http://www.microsoft.com/japan/technet/security/advisory/967940.mspx

このアドバイザリでは、Autorun (自動実行、自動再生)の機能を無効にするために必要な更新プログラムの公開をお知らせするものです。Autorun を無効にするためには、NoDriveTypeAutoRun レジストリキーを設定する必要があるのですが、レジストリキーが想定通りに機能しないという問題がサポート技術情報 953252でお伝えしていました。
今回は更新プログラムを、Microsoft Updateを通じて配布可能な更新プログラム (967715)を新たに公開しています。既に、更新プログラム (953252)を適用している場合は、更新プログラム (967715)を新たに適用する必要はなく、Microsoft Updateでも配信されません。

なお、これらの更新プログラムを適用しても、Autorunが無効になるわけではありません。無効にしたい場合には、サポート技術情報 967715 に従って、レジストリ値の変更、またはグループポリシーの設定を行う必要があります。
これらの更新プログラムは、設定が正しく反映され、期待される動作結果となる様にするための更新プログラムです。

日本のセキュリティチーム (Japan Security Team) : Autorun

セキュリティ インテリジェンス レポート 第7版(2009年上半期)

自動実行(自動再生/AutoPlay/Autorun)の動作変更

セキュリティ インテリジェンス レポート 第6版(2008年下半期)

Conficker.C (Downadup)

自動再生 (Autorun) & Excel 0-day

セキュリティインテリジェンスレポート第7版(2009年上半期)

セキュリティインテリジェンスレポート第6版(2008年下半期)