• ワームとMS08-067

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    報道やMSRC Blog等でも取り上げられているので、すでにご存じの方も多いと思いますが、MS08-067を悪用するワームが確認されています。

    ものとしては、Win32/Conficker.A (またはWin32/Conficeker.Gen) が最も見られるようですが、IRCBotの亜種も確認しています。 MS08-067のセキュリティ更新プログラムを適用していれば全く問題ないのですが、未適用環境で感染が確認されています。

    対処としては、基本的に以下の流れになります。

    1. MS08-067の適用
    2. 駆除 (http://safety.live.com)
    3. ファイアウォールの設定見直しなります。

    しかしながら、原則論でいえば、一度ウイルス(マルウェア)に感染した PCは、他にどの様なマルウェアを招き入れているかわかりませんので、完全にフォーマットして再構築が望ましいところではあります。
    このConfickerも、<random ip>/search?q=%d&aq=7 からファイルのダウンロードを試みる性質があり、Conficker以外のマルウェアにも感染している可能性があります。

    詳細は、以下のサイトにありますが、英語のみとなりますので、簡易翻訳版をこのBlogに転記しておきます。
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A

    別名 (Also Known As):
    TA08-297A (その他)
    CVE-2008-4250 (その他)
    VU827267 (その他)
    W32.Downadup (シマンテック)

    概要 (Summary):
    ワーム:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。
    マイクロソフトは、ユーザーが直ちにセキュリティ情報 MS08-067 に該当する更新プログラムを適用するよう強く推奨します。

    現象 (Symptoms):
    この脅威に関連する一般的な現象はありません。おそらく、インストール済みウイルス対策ソフトウェアからの警告通知が唯一の現象です。

    技術的な情報(Technical Information):
    Worm:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。

    感染方法:
    このワームは Windows の実行可能ファイル 'services.exe' を探し、このファイルにそれ自身を仕掛けます。このワームは Windows のシステム フォルダーに <random>.dll の名でそれ自身をコピーします。<random> の部分はアルファベットの小文字 (5-8 文字) で 'nxyme.dll' のような名称になります。

    このワームは感染時間についてフォレンジックの証拠を隠すため、DLL ワームのコピーがドロップされたファイルの時間を、システムの kernel32.dll ファイルと同じ時間に調節します。このレジストリはドロップされた DLL のワーム コピーをサービスとして実行するように変更されます。

    追加の値:  "DisplayName"
    データ:  "0"
    サブキー:  HKLM\SYSTEM\CurrentControlSet\Services\vcdrlxeu

    追加の値: "ServiceDll"
    データ: "<system folder>\nxyme.dll"
    サブキー:  HKLM\SYSTEM\ControlSet001\Services\vcdrlxeu\Parameters

    マシンがワームに感染すると、このワームはすでに影響を受けているこのマシンが再感染しないように、シンプルなコードのフックを介して悪用された機能を修正します。ワームはポート 1024 および 10000 の間をランダムに選択してポートを開き、接続の試行情報を確認し、API を使用している Windows ファイアウォールを回避します。また、このワームはインターネット接続共有サービスを停止します。

    拡散方法:
    ネットワークのコンピューター
    Win32/Conficker. A はメモリにそれ自身をコピーし、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上でランダムに選択した IP アドレスに蔓延し始めます。脆弱性が悪用された場合、ワームは標的のコンピューターを操り、ワームに開かれたランダムなポートを使用して HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。
    このワームは次の URL を利用して、コンピューターの地域的な場所を判断します:

    getmyip.org
    getmyip.co.uk
    checkip.dyndns.org

    Win32/Conficker.A はウクライナの地域のコンピューターの感染を避けます。

    ペイロード (Payload):
    HTTP サーバーを作成する
    ワームは 1024 から 10000 の間のポートをランダムに開き、Web サーバー (HTTP サーバー) のように動作します。リモートのマシンが悪用された場合、犠牲者が http サーバーに再度接続し、ワームのコピーをダウンロードします。
     
    システムの復元ポイントのリセット
    ワームは API 機能を呼び出し、コンピューターのシステムの復元ポイントをリセットし、システム復元を使用してリカバリさせないようにします。

    ファイルのダウンロード
    日付が 2008 年 11 月 25 日以降である場合、このワームは URL を次のフォーマットで構築し、そこからファイルをダウンロードしようと試みます:

    <random ip>/search?q=%d&aq=7


    日付が 2008 年 12 月 1 日以降である場合、Win32/Conficker.A はドメイン 'trafficconverter.biz' から 'loadadv.exe' のファイルのダウンロードを試行します。

  • 11月のワンポイント セキュリティ

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    11月のワンポイントセキュリティを公開しました。

    2008年11月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

    最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。

  • 2008年11月のセキュリティリリース & Vista Antivirus 2008 (偽)

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です

    今月は、事前通知からの変更はなく、予定通り、計 2 件 (緊急 1 件, 重要 1 件)を公開しました。

    セキュリティ情報 (新規):
    セキュリティ情報の展開に関する情報およびExploitability Indexは、以下のサイトにまとめています。
    http://www.microsoft.com/japan/technet/security/bulletin/ms08-nov.mspx

    MS08-068 (SMB):
    ユーザーが、悪意のあるサイトに誘導された場合に、Microsoft Server Message Block (SMB) プロトコルの脆弱性が悪用される可能性に対処しています。

    MS08-069 (MSML):
    特別に細工されたコンテンツを読み込んだ場合に、不正なコードの実行、情報漏洩などの可能性のある脆弱性に対処しています。
    また、今回インストールにも関連する既知の問題が幾つかありますので、http://support.microsoft.com/kb/955218 を参照することをお勧めします。

    悪意のあるソフトウェアの削除ツール(MSRT):
    今月は、Win32/FakeSecSen および、Win32/Gimmiv に対応しています。
    FakeSecSen は、最近特に問題になっているウイルス対策ソフトの一つに対処しています。 今回対処したのは、Vista Antivirus 2008 と呼ばれるもので、Windows Vista の正規の機能を装って、以下の様な警告画面を表示します。ウイルスを削除していると見せかけ、逆に「偽ウイルス対策ソフト = ウイルス」に感染させられてしまいます。 この他にも、このようなソフトウェアは幾つか発見されており、Webにアクセスして突然、感染の警告が Webブラウザ内に出て、正規版の購入を勧めるような場合は、ほぼ間違いなく偽ソフトの警告だと思って良いと思います。 とはいえ、本来ブラウザが表示している警告は無視しないようにしなければなりませんので、不慣れな方には区別は難しいのかもしれません。

     

    ワンポイントセキュリティ情報:
    毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、11/12の午後に以下のサイトとこのBlogで公開を予定しています。
    http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

  • 2008年11月のセキュリティリリース予定

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。
    今月は、計2件 (緊急 1 件, 重要 1 件) の公開を予定しています。
    リリース日は、週明け水曜日 (11/12) です。

    公開予定の詳細は、以下の事前通知のサイトをご覧ください。
    http://www.microsoft.com/japan/technet/security/bulletin/ms08-Nov.mspx

    セキュリティ情報

    影響を受ける製品

    最大深刻度

    影響

    検出方法

    再起動

    Windows 1 (MSXML)

    Microsoft Windows. Microsoft Office

    緊急

    リモートでコードが実行される

    MBSA

    必要な場合あり

    Windows 2

    Microsoft Windows

    重要

    リモートでコードが実行される

    MBSA

    必要

     

  • セキュリティ インテリジェンス レポート 第5版

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    2008年上半期の脆弱性やマルウェアの動向をまとめた、セキュリティ インテリジェンス レポート (SIR) 第5版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果の概要は、日本語でご覧いただけます。 この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

    マイクロソフト セキュリティ インテリジェンス レポート
    http://www.microsoft.com/japan/security/sir.mspx

    幾つか、特徴がありますが、まずあげると、今回も、日本が突出して安全であることがあげられます。 とはいえ油断はできず、世界的に悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM)が増加の傾向にあります。 これは、最近のダウンロード型マルウェアの増加や、サードパーティソフトウェアへの攻撃増加が一因にあるようです。

    SIRv5 Heatmap

     また、以前から脆弱性や攻撃の対象が、OSから、アプリケーションに移っているといわれて久しいですが、Windows XPとWindows Vistaでも違いがでています。Windows XPでは、Microsoft由来の脆弱性が42%ですが、Windows Vistaでは、Microsoft由来の脆弱性は6%となっており、アプリケーション側の脆弱性への対応の必要性がより顕著になっています。

    これらの情報は、世界中のデータをまとめたものですが、日本のデータに絞ったものも、近いうちに公開したいと思います。