【OS】Windowsに新たな脆弱性、アイコンを表示するだけでウイルス感染 [10/07/20]
1 :
依頼@@@@ハリケーン@@@φ ★ :
2010/07/22(木) 12:29:34 ID:??? マイクロソフトは2010年7月17日、Windowsに新たな脆弱(ぜいじゃく)性が見つかったこ
とを明らかにした。Windows上で、細工が施されたショートカットファイルのアイコンを表示
するだけで、ウイルスを実行される危険性などがある。実際、今回の脆弱性を悪用したウイ
ルス攻撃(ゼロデイ攻撃)が確認されている。セキュリティ更新プログラム(修正パッチ)
は未公開。同様の攻撃が広まるのは時間の問題だとして、セキュリティ企業各社は注意を呼
びかけている。
今回報告されたのは、ショートカットファイル(拡張子がlnk)の処理に関する脆弱性。
細工が施されたショートカットファイルのアイコンを、エクスプローラーなどで表示するだけ
で、そのショートカットファイルで指定されたファイルが勝手に実行されるという。
例えばあるフォルダーに、細工を施したショートカットファイルと、ウイルスファイルを
用意。ショートカットファイルでは、そのウイルスを指定しておく。すると、ユーザーが
そのフォルダーを開いただけで、ショートカットファイルがウイルスを実行。ウイルスに
感染することになる。
実際、今回の脆弱性を悪用したウイルス攻撃が確認されている。この攻撃ではUSBメモリー
が使われている。攻撃用のUSBメモリーには、悪質なショートカットファイルとウイルスが
保存されている。このUSBメモリーをパソコンに接続し、保存されているファイルを表示する
だけで、ウイルスに感染してしまう。
一般的なUSBメモリー悪用ウイルス(USBウイルス)とは異なり、自動再生(自動実行)機能
を無効にしていても防げない。USBメモリーの中身をエクスプローラーで表示するだけで被害
に遭う恐れがある。
また、今回の脆弱性は、USBメモリーを使わなくても悪用可能とされている。Windowsのファ
イル共有やWebDAV経由でも悪用できるという。例えば、ファイルサーバーやWebサーバーに
悪質なショートカットファイルとウイルスを置いておけば、該当のフォルダーを開いただけ
でウイルスに感染する。
現時点では、今回の脆弱性を悪用した攻撃は限定的だという。だが、脆弱性の悪用が容易
であり、なおかつ悪用方法が公開されているため、セキュリティ組織のサンズ・インスティ
チュートなどでは、攻撃が広まるのは時間の問題としている。
ソース:PC online
http://pc.nikkeibp.co.jp/article/news/20100720/1026250/ 今回の脆弱性を悪用した攻撃例(英ソフォスのデモ動画から引用)。USBメモリーの中身を
表示するだけで、ショートカットファイルがウイルスを実行する
http://pc.nikkeibp.co.jp/article/news/20100720/1026250/ph1.jpg
>>1 のつづき
影響を受けるのは、現在サポート対象となっているすべてのWindows。Windows 7やWindows
Server 2008 R2といった最新版のOSも影響を受ける。Windows 2000とWindows XP SP2は「影
響を受けるソフトウェア」に含まれていないが、これは、2010年7月14日にサポートが終了し
たため。サンズ・インスティチュートなどでは、これらも影響を受けるだろうとしている。
修正パッチは未公開。マイクロソフトでは、回避策として「ショートカットファイルのア
イコンを表示しないようにする」「(WebDAVで利用される)WebClientサービスを無効にする
」を挙げている。これらの具体的な手順は、マイクロソフトの情報に詳しい。
ただしセキュリティ企業などは、これらの回避策は現実的ではないと指摘。特に企業や組織
などでは、実施するとユーザーが混乱するだろうとしている。
そのほかの回避策としては、ウイルス対策ソフト(セキュリティソフト)の利用を挙げて
いるところが多い。対策ソフトの多くは、最新の定義ファイル(パターンファイル)におい
て、悪質なショートカットファイルや、そのファイルに実行されるウイルスに対応している
という。
マイクロソフトの情報
http://www.microsoft.com/japan/technet/security/advisory/2286198.mspx -以上-
ウィルスへのショートカット
これでも、アップルの脆弱性がmsの5倍って事実の方が怖い。 マイナーな分、発見も遅いし、アップルだから対応も怪しいし。
WebDAVもやばいのかよ('A`)
6 :
名刺は切らしておりまして :2010/07/22(木) 12:38:36 ID:ROVFkCvN
コマンドラインで業務を行っている俺に隙はなかった
7 :
名刺は切らしておりまして :2010/07/22(木) 12:39:34 ID:oljk9aiy
MSがXPユーザのために作ったんでしょ
8 :
名刺は切らしておりまして :2010/07/22(木) 12:42:15 ID:mTxQUS/T
9 :
名刺は切らしておりまして :2010/07/22(木) 12:42:57 ID:N3/qoV4+
Windows怖えwww
10 :
名刺は切らしておりまして :2010/07/22(木) 12:44:36 ID:8RXn2rZL
よかったぜ、未だにMS−DOSで!!
またMS謹製のウイルスか サポート終了と同時にくるよな
zipでうp 解凍したファイルのアイコン表示 終了 なんというお手軽感染
14 :
名刺は切らしておりまして :2010/07/22(木) 12:47:01 ID:iCtv9BA0
>>7 SP2はサポート終了だがSP3はサポート対象だろ?
俺女子高生だからよくわかんないんだけど、 ショートカットって相対パスで作れるもんなの? 絶対パス(若しくは環境変数を含むパス)しか駄目なら 意図したパスにウイルスを保存させないと駄目でしょ?
16 :
名刺は切らしておりまして :2010/07/22(木) 12:50:27 ID:W7BGA8xF
ようわからんわ?度ないしたら防衛できるんや?
windows2000サポート終わりました ↓ なぜか凶悪なウイルス発見ww
18 :
名刺は切らしておりまして :2010/07/22(木) 12:51:18 ID:8ToGP/Np
うえええ、これヤバいだろw てか、クリックもしないで自動実行ってどういうことだよ。 毎度毎度だけどさあ・・・。 関連するサービス切るとなんか不都合でるっけか
>>18 クリックしなくてもアイコンの上にマウスを持っていけばマウスオーバーイベントが働くから
それをトリガーにして実行させるという裏技を使って居るんだろうね。
21 :
名刺は切らしておりまして :2010/07/22(木) 12:59:37 ID:vjckG9cV
ということは、MSEで対応できるということでいいんだよね?ゲイツくん
22 :
名刺は切らしておりまして :2010/07/22(木) 13:00:50 ID:8ToGP/Np
回避策 ショートカット用アイコンの表示を無効にする 回避策の影響: ショートカット用のアイコンの表示を無効にすることで、 影響を受けるシステム上でこの問題が悪用されることを防ぎます。 この回避策の実装後、システムが大部分のアイコンを「白色」の 既定のオブジェクトアイコンで示し ユーザービリティに影響を及ぼす可能性があります。 「大部分のアイコンを「白色」の既定のオブジェクトアイコンで示し」 「大部分のアイコンを「白色」の既定のオブジェクトアイコンで示し」 え゛、これってアイコンみーんなマッシロケになるって事?w 「ユーザービリティに影響を及ぼす」 というか、アイコン判別できなくなりw ダメダメじゃんwww
「EXEを実行しますか?」って 確認はないのかな?
これ最上級にやばいんじゃ?
25 :
名刺は切らしておりまして :2010/07/22(木) 13:03:02 ID:dNXjzgpH
業務用とかの周辺機器は、 XPオンリーなんてソフトは結構数あるんだけどorz
26 :
名刺は切らしておりまして :2010/07/22(木) 13:03:23 ID:dFupm2p3
俺MacだからだいじょうV
なんでパッチ未公開なの?マイクロソフトは皆に感染してほしいの?
WebClientサービスなんて使ってるの? 鬱陶しいから速攻で無効にしてるんだが
>>22 ショートカットだけだから、まぁギリギリなんとかなるかもしれない程度
>>15 俺も女子高生だからよく解らないんだが
別に相対パス関係ないんじゃない?
インターネットのしくみ ∧_∧ ( ・ω・) 取りあえずアイコンを表示してと _(__つ/ ̄ ̄ ̄/ \/ /  ̄ ̄ ̄\ (ウイルス) (クレカ情報)(パスワード)(個人情報) \┗(^o^ )┛ ┗( ^o^)┛ ┗( ^o^)┛ ┗( ^o^)┛ \┏┗ ┛┓ ┛┓ ┛┓  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
MS内部の人間がOS買換え需要狙って作ったウイルスだろうけど windows2000ユーザーはLinuxに流れるだけだと思うよ。
>>34 Windows2000ユーザーは、次世代のWindowsMEにすることだろう。
36 :
名刺は切らしておりまして :2010/07/22(木) 13:15:02 ID:iUclIxzq
「細工したショートカット」の原理がわからんな?なぜ開示しないんだ? 数行で説明できるだろw 超うさんくさいニュースだなwww
37 :
名刺は切らしておりまして :2010/07/22(木) 13:17:25 ID:zEwLldrk
こんなのよく考え付くな
38 :
名刺は切らしておりまして :2010/07/22(木) 13:21:38 ID:VTWlvT1f
パソコンのウィルスもアルカイーダも怖いお お金払うから、アメリカ様何とかして下しい
クローンの反乱仕込んでくる
40 :
名刺は切らしておりまして :2010/07/22(木) 13:22:06 ID:QPbP+ybi
> これらの具体的な手順は、マイクロソフトの情報に詳しい。 ???意味が…
アイコンの上にマウスを持っていくと「説明文」が表示されるだろ。 マウスオーバーによってイベントが発生して、設定していれば「説明文」を表示する。 このプロセスに実行ファイルの実行を割り込ませる手口が見つかったと言うことだと思う。 これは使用者にexeファイルを誤実行させてウイルスが働くという次元を超えているから WindowsOSの根幹を揺るがすヤバサだよ!
ConConアタック並みの大穴だ。
43 :
名刺は切らしておりまして :2010/07/22(木) 13:22:47 ID:ADi1BBWD
Windows2000ユーザーだが永遠に2000を使い続けるよ ウイルスなんかには負けません
Vista以降なら、管理権限で実行しますか?という表示が出て、それにいいえと答えれば回避できる。
>>41 徳島のソフト屋を恐喝しようとして失敗してた
松下さんが、この関連特許持ってたよね(笑)
46 :
名刺は切らしておりまして :2010/07/22(木) 13:27:09 ID:iUclIxzq
>>41 ポップアップ窓の事か?ねぇよw
バイナリを細工しようが文字表示するだけのロジックだぞ?
ショートカットって相対指定できんの?できるんだったら怖いな
>>46 そのロジックにexe実行の割り込みを突っ込んだんじゃないの?
もしそうだとするとWindows終了のレベル
あれ、XPって、ProもHomeも、両方ともサポート期間終了しちゃったんだっけ? だとしたら、大問題じゃないか
ProのSP3は延長したはず
ubuntu で良かった
52 :
名刺は切らしておりまして :2010/07/22(木) 13:35:54 ID:iUclIxzq
>>48 そこんとこのプログラム担当した奴が exe を実行するコードを意図的に仕込まない限り起きないよ。
バグとか穴とかいうレベルじゃねーぞ!
これは・・・WebDAV経由と言うのが危険だな WEBでリンククリックしただけで感染する可能性もあるのか リンク先がexeなら注意するが別のなら押す人いそうだし
とりあえず気に留めておけば良い程度なのかな? セキュリティソフトで防げるからパンデミックはないということか。
>>52 しかしウイルス感染のイベントがマウスオーバーしかないんだから
そのテキストに実行コードが入ってるんじゃないの?
56 :
名刺は切らしておりまして :2010/07/22(木) 13:41:22 ID:enT9noKW
ICONICニダ!
なんか買い替えを促すためにわざと脆弱性を煽っている気がしてきた
59 :
名刺は切らしておりまして :2010/07/22(木) 13:46:21 ID:bPz9LlqA
実行ファイル自体がウイルスならセキュリティソフトで対応できるジャン
>>59 Anti-Virus が定義する Virus なら検出されるだろうけど、
勝手にファイルを消しまくるプログラムとかだったら検出できん。
危害を加えようと思えばいくらでも可能。
61 :
名刺は切らしておりまして :2010/07/22(木) 13:51:55 ID:xiYJGS19
だめぽ
相変わらず騒ぐだけ騒いで対処法には踏み込まない件w
おまえらウイルス議論は良いけど肝心の対策はしなくて良いの…?
ああもうすでに対策済みなのね、それは失礼しました
…まだ対策してない、って奴は↓
http://support.microsoft.com/kb/2286198 英語だけどw
要は、↑のページの真ん中あたりにある、工事のオッサンのアイコンをクリックして、
「Fix this problem Microsoft Fix it 50486」を実行すればok
マイクロソフトが全自動でEnable workaroundしてくれますw
ちなみに、やっぱキャンセルって時でも、隣のオッサンのアイコンをクリックするだけok
Disable workaround、つまり「Microsoft Fix it 50486」をチャラにしてくれる
あとは、
スタート → コンピュータ → 右クリックで管理 → サービス
サービスの一覧の中から「WebClientサービス」探して「無効」
(※スタートアップ時の設定も無効にしておく事)
つうか
>>29 だろ普通のクライアントPCなら、っていうね
以上おわり
63 :
名刺は切らしておりまして :2010/07/22(木) 13:52:34 ID:4m0299wv
>>59 感染しない、「単なる実行ファイル」は
ウィルスのデータベースに入ってないだろ。
64 :
名刺は切らしておりまして :2010/07/22(木) 13:54:38 ID:pod/qnJK
w2kのオレ大勝利wwwwwwwwww
65 :
名刺は切らしておりまして :2010/07/22(木) 13:56:33 ID:VhUn7tix
>>49-50 SP2のサポートは2010年7月13日で終了しました
(以後、セキュリティ更新プログラムは提供されません)
SP3を適用すれば2014年4月8日まで延長サポートします
(延長サポート=無償のセキュリティ更新プログラムと有償サポートオプションのみ提供)
XPのみ特例で、
Home Edition、Professional Edition、Media Center Editionに適用されます
ライブラリ(キリッ
69 :
名刺は切らしておりまして :2010/07/22(木) 14:04:04 ID:4m0299wv
>>64 >Windows 2000とWindows XP SP2は「影
>響を受けるソフトウェア」に含まれていないが、これは、2010年7月14日にサポートが終了し
>たため。サンズ・インスティチュートなどでは、これらも影響を受けるだろうとしている。
.lnkが肝みたいな感じか? exeに限らずcomやbat、vbs実行されるものならなんでもいけそう
>例えばあるフォルダーに、細工を施したショートカットファイルと、ウイルスファイルを >用意。ショートカットファイルでは、そのウイルスを指定しておく。すると、ユーザーが >そのフォルダーを開いただけで、ショートカットファイルがウイルスを実行。ウイルスに >感染することになる。 マウスオーバーとかじゃなくてアイコン表示なんじゃね?
73 :
名刺は切らしておりまして :2010/07/22(木) 14:09:27 ID:LW/XwlnX
こんな穴があるってのが逆に凄い
>>73 対策は鰯の頭をお守りとする程度のレベル。
ルーターの電源落として、必要なデータは
全部手打ち入力、出力は画面見ながら紙に
手書きする必要がある。
それが嫌なら
MS-DOSまでダウングレードするか
Linux等に代替すればおk
フォルダX ・ショートカットファイル(細工を施した=ウイルスファイルを指定) ・ウイルスファイル フォルダXをエクスプローラで開く ↓ ショートカットファイルが勝手に実行される ↓ ウイルス.exeを実行して感染 エクスプローラ上でショートカットファイルを表示させると感染 通常はエクスプローラを開くと、そのパスにあるファイル名と対応するアイコンが表示される この「アイコンを表示する」というイベントで「ウイルスを実行」させてしまう 結局アイコンが表示されただけで実行されるというところが通常はあり得ないんだけど ショートカットのパス指定みたいなところにそういう細工ができるということですよね。
77 :
名刺は切らしておりまして :2010/07/22(木) 14:31:04 ID:02Qw7k0c
79 :
名刺は切らしておりまして :2010/07/22(木) 14:35:10 ID:8XW4jjTG
検索して、ようやく実際のファイルと解説を発見
ttp://www.ivanlef0u.tuxfamily.org/?p=411 にある「suckme.rar」を展開した「suckme.lnk_」が実例
lnkファイルの後半をバイナリで書き換えることで、
「リンク先」を任意の文字にすることができる
リンク先が実在のファイルかどうか
マイクロソフトはいちいち確認していなかったのが
理由のようだわ。
ま、lnkファイルが勝手にPCに侵入してくるわけではないから
それほど危険とは思えない。
このままXpを使い続けよう
Windowsの脆弱性はMacやLinuxの500倍弱あるって言う事実は恐ろしいな それでもまだWindowsを使用する奴は何なのかな・・・
81 :
名刺は切らしておりまして :2010/07/22(木) 14:40:31 ID:6AHfMbxS
ブラウザでWebページ見ただけで感染するって言うならヤバ過ぎるけど、 ウィルス本体をPCに保持してなけりゃ感染しないんだろ? P2Pとかで怪しいファイル落としまくってる奴は勝手に感染してろと思う。
>>79 lnkファイルのリンク先を書き換えてしまうことはぜんぜん難しいことではないんだが
問題はフォルダを開いただけで表示されるlnkファイルアイコンのショートカットが
実行されてしまうと言うことだろ?
システムファイルを上書きされて実行されるウイルスより驚異は少ないと思うけど
問題はショートカットのリンクが不正に書き換えられても解らないことだね。
2000使うのやめましょうウイルスですね。 あはははは
「きじゃくせい」って入力して変換しようとたら (「ぜいじゃくせい」の誤り)ってATOKに怒られた(´・ω・`)
85 :
名刺は切らしておりまして :2010/07/22(木) 14:45:51 ID:+4Zqu9wb
ウェブページのアイコンに付与して、 ページ閲覧時にキャッシュさせて感染を誘発させるぐらいなら考える奴もいそうだな・・・。 キャッシュを開かれる状況を誘発しないようにブラウザのキャッシュを行わない設定にした方がいいんだろうか?
>>79 suckme.rar 落としただけでMSEに怒られた
やるじゃんMSE
ひょっとしてこの脆弱性は10年単位で放置されてたんじゃないか?
avastも対応してたのか
89 :
名刺は切らしておりまして :2010/07/22(木) 15:26:06 ID:kWYkB9/x
>>85 そんな事されたらいつもIEのキャッシュフォルダー開いてる俺のPC即死だわw
90 :
名刺は切らしておりまして :2010/07/22(木) 15:31:37 ID:Q6B0yphp
ガラス屋が、ガラスの窓を割りまくってガラスを売っています。 さて問題です。マイクロソフトは大丈夫なんでしょうか?
こんな自作自演の商売に付き合ってられんな グーグルはパソコンのOS作らないの?
>>87 OS自体が壮大なスパイウェアという話しがあるわけで
93 :
名刺は切らしておりまして :2010/07/22(木) 15:44:36 ID:ThDWbrUL
そもそもWebClientサービスなんてPCを新調した瞬間に 真っ先に斬るサービスだろ? 動かしてるヤツは頭が脆弱性だなw
>>91 今年のおわりくらいにGoogle Chrome OS登場
96 :
名刺は切らしておりまして :2010/07/22(木) 16:41:33 ID:wh2BdNjV
昔WMFファイルでも同じような騒ぎがあったな>Explorerで表示するだけ あの仕組みとはまた別なんだろうけど
>>89 そのウィルス支援ツール作っちゃえばいいのに
98 :
名刺は切らしておりまして :2010/07/22(木) 16:48:12 ID:4bYg0Pqs
Windows XP SP2と Windows 2000のサポートが終了したとたんの俊敏な報道。 流 石 マ イ ク ロ ソ フ ト
99 :
名刺は切らしておりまして :2010/07/22(木) 16:51:06 ID:MeG6pgi+
えっ マウスオーバーイベントだけで どうやって感染させちゃうのかな 不思議
ubuntuに移住しろ
むちゃくちゃこわいんですが
104 :
名刺は切らしておりまして :2010/07/22(木) 17:31:48 ID:uM3hbbll
トヨタなら1兆円絞られるレベル
106 :
名刺は切らしておりまして :2010/07/22(木) 17:43:41 ID:krZetyuz
2kサポ終了したからなんか来ると思ってたが ショートカットアイコンを使って不具合を生じさせるタイプか MSのやり方にはウンザリだな
107 :
名刺は切らしておりまして :2010/07/22(木) 17:55:39 ID:WuJW+se4
こんなことしてるからアップルに負けるんだよ。
MacやLinuxの脆弱性ってバッファオーバーフローとかだいたい予測できるものばかりだけど、 Windowsの脆弱性って想像も付かないものが多いな。 よほどプログラマのレベルが低いのか、それとも全てアセンブラで書いてるとか。
危険なwindowsを使うのは俺だけでいい お前らさっさとmacかlinuxあたりに逃げろ 逃げるんだ
何回アップデートしたら完璧になるんだYO!
新たなウイルス作る奴がいる限り完璧なんてないYO
びっくりするほどウィンドウズwwwwwwwwwwwwwwwwwwwwwwwwww
115 :
名刺は切らしておりまして :2010/07/23(金) 00:10:11 ID:vyE+3Nxm
よくわからないけど アンチウィルスソフトは ショートカットで起動するcomなんかが 起動した瞬間に「あっウイルス」とかの反応を して対策してくれないの? そのフィルスのcomがローカルにあるなら ローカルに保存した瞬間に警告してくれるよね
MSが完璧なOS出せば買い替えずに済むのに(棒)
エクスプローラなどでってことはIEコンポーネンツの脆弱性?
>>17 Windows95から恒例のパターン入ったなw
119 :
名刺は切らしておりまして :2010/07/23(金) 08:23:04 ID:XtH6YOcJ
>>1 ∧∧∩
( ゚∀゚ )/
ハ_ハ ⊂ ノ ハ_ハ
('(゚∀゚ ∩ (つ ノ ∩ ゚∀゚)')
ハ_ハ ヽ 〈 (ノ 〉 / ハ_ハ
('(゚∀゚∩ ヽヽ_) (_ノ ノ .∩ ゚∀゚)')
O,_ 〈 〉 ,_O
`ヽ_ (_/ ´
ハ_ハ キターーーーー ハ_ハ
⊂(゚∀゚⊂⌒`⊃ ⊂´⌒⊃゚∀゚)⊃
120 :
名刺は切らしておりまして :2010/07/23(金) 08:35:10 ID:J+g68870
超漢字をつかってる漏始まる勝ち組
これ、エクスプローラー側の問題じゃないの?
122 :
刺身は切らしておりまして :2010/07/23(金) 09:35:22 ID:AjUex3TH
>>79 その問題のショートカットはアイコンがない。
つまり、
1.リンク切れでショートカットからアイコンが消えたらすぐに直す。
普段から作らないように常に整理しておく。
2.知らないファイル名のショートカットがあったらリンク先を確認する。
それでも不明な時は捨てる。
それとショートカットのリンク先と思われる同梱のDLLファイルがウイルス
だから、ウイルス対策ソフトを入れておくと更に防ぎやすくなる。
これでひとまず安心か。
>>115 もともとwindowsに入ってるソフトだとその手は使えない
たとえば、自動的にformat c:されるショートカットとかやられたらやばい
124 :
名刺は切らしておりまして :2010/07/23(金) 10:12:48 ID:TMdh5XhZ
【解説】
・この脆弱性は現在サポート対象の全てのバージョンのWindowsに存在する
・イラン、インド、インドネシアの水力・電力インフラを特定的に攻撃するrootkitとして発見されたのが発端
・rootkitにはRealtec社の有効なデジタル証明書が付与されていた
・その後、JMicron Technology Corpの同様に有効な証明書が付いた亜種も発見された
・RealtecとJMicronはどちらも台湾のHsinchu Science and Industrial Parkに事務所がある
・証明書はどちらも盗まれたものだが、侵入が物理的なものか電子的なものかは不明
・有効な証明書があればWin7のUACをすり抜けて一般ユーザでrootkitインストール可能
→当初の攻撃はテロ組織または諜報機関によるものであることが濃厚
・その後、攻撃コード&ツールが広く公開されたため今後大量にウィルスが発生する見込み
・.LNK、PIFファイルだけではなくドキュメント(Office文書等)への埋め込みも可能であることが発覚
→★ 現在は、Webサイト、メール添付等でダウンロードする全てのMS系ファイルが警戒対象 ★
【対策】
・今のところレジストリ変更またはFix Itでショートカットのアイコン画像表示を停止するしかない
下記サイトの"Fix It"ボタンを押す (管理者権限必要)
http://support.microsoft.com/kb/2286198 ただしこれをやるとデスクトップ、スタートメニュー、クイック起動のアイコンが全て白くなって識別不能
・アンチウィルスは基本的に事後対策なので初期攻撃は防げない
ただ初期攻撃の対象となるような組織は日本ではこんなもんだろ
- 独占技術(輸出禁止対象レベル)を持つ会社
- 自衛隊
125 :
名刺は切らしておりまして :2010/07/23(金) 10:13:38 ID:PXpkDwQy
鳩山○ね! 糞 それにしても、J-COMは糞 電話かけるまで電波止めやがってた これコピペしてあちこち張りまくろう
126 :
名刺は切らしておりまして :2010/07/23(金) 10:26:32 ID:TMdh5XhZ
>>87 放置ではなくMSが気づいてなかった
この手の攻撃はAPT (Advanced PersistentThreat: 高度かつ持続的な脅威)と呼ばれる
攻撃者の目的はできる限り気づかれず長期的に情報収集すること
そのために未公開の脆弱性を利用し、あまり派手にならないように対象から自分に情報送信させる
半年ぐらい前にGoogleやAdobeが中国から攻撃を受けたのもこれ
あれはIEの未発見の脆弱性を使って、社内ソース管理システムから製品ソースの収集を目的にしていた
GoogleがWindows使用禁止にするというのも過剰反応ではない
最近のこの手の話は技術屋レベルではなく、国際間情報戦のレベル
いったいどうしろと?
パッチ出るまでwindowsマシンでネットしない、これが最強
129 :
名刺は切らしておりまして :2010/07/23(金) 10:57:08 ID:TMdh5XhZ
>>127 この脆弱性に対して100%の安全性を求めるなら
>>128 (Linux, Mac上のWineは危ないかも)
Windows PCを使うなら既存ローカルファイルの編集に限定する
ネットワーク(社内LAN等)に接続しない、外部媒体を差さない
次に安全なのはMSのFix It適用 (
>>62 ,124 )
そんなことできるかボケ、なら
・まずWindows Updateでセキュリティパッチを全部当てる (既存脆弱性経由で来る可能性もある)
・使う可能性のあるソフト (Adobe Reader等)も全部パッチを当てる
・アンチウィルスの定義ファイルを最新にする (今まで見つかってる攻撃は捕獲できる)
・管理者権限(Administrator)でPCを使わない
・Webサイトは原則見ない ファイルのダウンロードは不可
ブラウザのプラグイン、スクリプトは原則OFF、確実に安全と分かっているサイトに限り個別にON設定する
・メールの添付ファイルは確実な相手からのものでない限り開かない
ぐらいで、危険性は多少軽減できる あくまで多少
「ネット経由で何でもできた方が便利」 ゲイツがその昔、きっぱりと断言してOSにブラウザを取り込んだんだ 安全性なんてもともと無い UPDATEも含め、net拾い食いがデフォのOS 仕様だよ
131 :
名刺は切らしておりまして :2010/07/23(金) 11:26:24 ID:2aTbdjFy
> そのほかの回避策としては、ウイルス対策ソフト(セキュリティソフト)の利用を挙げて >いるところが多い。対策ソフトの多くは、最新の定義ファイル(パターンファイル)におい >て、悪質なショートカットファイルや、そのファイルに実行されるウイルスに対応している >という。 なんだ 結局大丈夫ジャン
>>129 もうデジタル証明書は安全じゃないの?
これが崩壊するとMSやパーツメーカーとかからのパッチ&ドライバ類まで信用出来なくなるんだけど。。。
どんだけ貧弱なんだよw
134 :
129 :2010/07/23(金) 11:36:40 ID:Zsk2kIJG
>>132 今回rootkitに使われてたのはベリサインで早速revokeされて、現在は失効状態
実はデジタル署名入りマルウェアは既に相当出回っている
http://www.f-secure.com/weblog/archives/00001973.html 今回はパーツメーカーの本物の証明書が盗まれたのが問題で、盗まれたことが分かるまでは
ダウンロードしたファイルだけ見ても正当かどうか判別できない
ベンダーのパッチとかはモジュール自体に加えて転送経路上の相手確認(https使ってればOK)も
必要になると思う
少なくとも第三者のサイトやP2Pなんかで落としたファイルは疑った方がいい
>>134 >少なくとも第三者のサイトやP2Pなんかで落としたファイルは疑った方がいい
疑うと言っても1ユーザーの身ではどうしようも。。。
p2pを使うほど巨大なパッチやドライバはあんま無いけど、第三者のサイトからなんかはしょっちゅうあるわー
ユーザー側で整合性を確認する有効な方法など
>>129 さん的に疑う方法への具体案って何かある?参考にしたい
136 :
129 :2010/07/23(金) 12:39:11 ID:1xyjn1C1
>>135 公式提供者が、モジュールのメッセージダイジェストをhttpsのサイトで公開してれば
ダウンロードしたモジュールと比較して同一確認できるんだけど・・・
正直そういうサイトはあまり見たことがないです
現実的には、既知のウィルス感染チェックだけならvirustotalでできる
http://www.virustotal.com/jp/ というより一般論として第三者のサイトにあるドライバはやめた方がいいと思うがどうでしょう
httpsでなくても、正規のURLにあれば少なくとも
・DNSポイズニング等による偽サイトへの誘導
・(盗んだ)証明書によるモジュールの偽装
の二段階が成功しなければ、攻撃者はモジュールをダウンロード・実行させられないので
>>136 virustotalは頻繁に使ってる
使ってるからこそわかる誤検出率(もちvirustotal自体が悪いわけじゃなくてね)
>メッセージダイジェスト
メッセージダイジェスト=(イコール)=CRC、MD5、SHA、AESなどのハッシュ関数って認識でおk?
それとも違う事象を指してる?
>第三者のサイトにあるドライバはやめた方がいい
うー耳が痛いw
「未対応ハード対応」や「非公式のbagfix版」と聞くとどうも食指が。。。
やっぱユーザーがまず出来るのは自ら地雷原に足を踏み入れないってことか
前から分かってたけど、サポートが切れるまで黙ってたんだろ?
139 :
129 :2010/07/23(金) 13:53:40 ID:8WDlMgM3
>>137 >メッセージダイジェスト=(イコール)=CRC、MD5、SHA、AESなどのハッシュ関数って認識でおk?
おk ハッシュ関数というかハッシュ値ね
ドライバは特権モードで動作して何かあったときの危険性が高いので純正品に限った方が
いいと思います セキュリティ上は
>>139 丁寧にサンクス
最後の質問!
>>129 さんはそういった知識をどういったサイトや書籍で勉強してるの?
なにかオススメのサイト(もしくは書籍)よろ
もし非公開サイトならヒントだけでも
141 :
名刺は切らしておりまして :2010/07/23(金) 15:56:31 ID:OGyOf/3H
さすがにこれはサポートしてほしいわな
>>2 k
windows全バージョン共通とかどんだけ
142 :
129 :2010/07/23(金) 16:20:39 ID:9nXvAL0q
これはつこうたで流行るな 自分はmacで開くから問題ないけど
>>142 全部お気に入り登録完了(`・ω・´)ゞ
勉強させてもらいます!
つこうたつうか普通に流行るだろ 対策されるまで防ぎようがないし
147 :
名刺は切らしておりまして :2010/07/23(金) 23:13:13 ID:3ULb0S8S
CDboot Ubuntu最強だな パソコンに一切痕跡のこらないし、 緊急時にはもってこい
アンチウイルスソフトで対策出来ないもんかね
読んでなかったごめんね
151 :
名刺は切らしておりまして :2010/07/24(土) 12:01:07 ID:tevb3WTQ
152 :
名刺は切らしておりまして :2010/07/24(土) 12:09:35 ID:eIqnAG7/
久々にお手軽でやばい脆弱性だな。Windows 2000おわった\(^o^)/ って、これわざとだろw
Windowsを使わないのが一番 GoogleもWindowsを辞める
もう実証コードもあるし ネット上で妙な圧縮ファイルを拾う→解凍→細工されたショートカット表示→同梱のワームやら何やら裏で実行→\(^o^)/ みたいなのが頻発しそうだな
なんかそのうちサイバーテロも起こりそうだな
157 :
名刺は切らしておりまして :2010/07/25(日) 01:05:00 ID:0mTmSjd8
やばいage
余計なことして動かなくなったり、変な連中招き入れたり、鬱陶しいメッセージを繰り返し出したり 役人と同じだな
>>158 税金で人類を苦しめてるところも同じだな。
このスレに今回の脆弱性を分析してる人がたくさんいるけど、 正確な情報は一つもないので、信用しない方がいいよ。 今回の問題は、元々コントロールパネルアイコンの表示処理に問題があり、 リンクターゲットからのアイコンリソース読み込みの際に、 それがリモートにあろうと関係なしに単純にLoadLibaryW()しており、 DllMain()が走ってしまうという点にある。 で、うまく細工したショートカットを作ると、この処理を走らせることができ、 攻撃側が用意した不正なDLLの読み込み・実行をさせることができる。 この攻撃は、単純にエクスプローラでのアイコン表示以外に、 IEでのWebDAVアクセスでフォルダ表示への自動切り替えが発生するようなケースでも発動する。
恐くて試してないけど、 suckmeはC:\に決め打ちしてるけど 相対パスでもいけちゃうの?
>>161 分かんないけどいけるんじゃないかな。
一番怖くて、一番流行するだろうパターンは、
IEで「
http://example.com/abc/ 」という不正なサイトにアクセスすると、
勝手に「\\example.com\xyz\」という共有フォルダ名にリダイレクトされるようになっており(WebDAVでもアクセスできてしまう)、
そこには「不正なショートカット.lnk」と「マルウェア.dll」があり、
lnkの指す先は「\\example.com\xyz\マルウェア.dll」になっている、というパターンと思う。
つまり、怪しいURL踏むと攻撃発動。
>>160 > このスレに今回の脆弱性を分析してる人がたくさんいるけど、
> 正確な情報は一つもないので、信用しない方がいいよ。
↑のフリして
> 今回の問題は、(長文につき略)
↑この流れは正直ないわー
信用していいのか信用しちゃダメなのか
>>163 何がなくて困っているのか分からんが、
俺のレスもそれ以外も信用しなければ解決するんじゃね?
Windows使わなければ全て解決 UbuntuかMacに移行しましょう
166 :
名刺は切らしておりまして :2010/07/28(水) 09:39:25 ID:UUDLQg5a
bat ファイルで揃えてみる
これってかなりやばいんじゃないですか あんまり周知されてはないみたいですけど
エクスプローラ上でzip解凍したら即感染! なんてこともあるわけか…
170 :
名刺は切らしておりまして :2010/07/30(金) 09:02:03 ID:/8YEdoak
windows2000を使い続けるなんて人は、アイコン非表示にしたら良いだけ
171 :
名刺は切らしておりまして :2010/07/30(金) 09:03:06 ID:Qlkz+iOi
これは嘘で、対策をしたのでもう関係ありません
ついでにエクスプローラはzipに触れるだけで開こうとするのやめろ。
173 :
名刺は切らしておりまして :2010/07/30(金) 09:20:54 ID:c8iZnCco
MSは「OS」とか無関係の さまざまなゴミをWindowsに組み込んだり IE6をOSと一体化させたり という「大きな間違い」を たくさん犯してきたことを反省せよ。 たとえば「ファイル名の後ろ3文字を変更するだけで 誰でもいつでも何でも実行可能になる」という仕組みは MS-DOSからの悪い伝統で 現在では危険きわまりない。 Windowsは「堅牢なOS」を目指すべきで (DQN向けの)利便性やデザイン追求は 終わりにしてくり
>>174 回避方法あったのね
どうもありがとう!
8/3に定例外で緊急パッチ公開か
そうせWindows2000はスルーなんでしょ。 サポート打ち切りを理由に
>>177 当然だろ。わざわざいうべきことでもない
うちは前もって買っておいたからいけるんだけど、 実際問題として、2000がこれでダメだから・・・って PenM辺りのノートパソコン用とかで店頭にXP買いに 出向いて買えるもんなのかね? PenMに7じゃ、いくらなんでもメモリ1G切ってたら 実用には厳しいと思うんだけど。
180 :
名刺は切らしておりまして :2010/08/03(火) 11:06:40 ID:NcFHDacL
181 :
名刺は切らしておりまして :2010/08/03(火) 21:04:54 ID:zXg0Da+S
マイクロソフトが馬鹿やるからアンチウイルスの会社が儲かるんですね OS=2万5千円(5年使用) としても アンチウイルスソフト 1年5000円x5年 で2万5千円。OSと同じかそれ以上にMSの穴ふさぐソフト代金かかるのですか。
182 :
名刺は切らしておりまして :2010/08/03(火) 23:01:47 ID:y53o/b1T
アニメーションカーソルの脆弱性(2007年4月)以来の数年に1回の頻度のやばい脆弱性が、 Windows 2000のサポート完全終了後すぐに出てくると、さすがに意図的なものを感じざるを得ない 見ただけで発動タイプって、滅多に無いかなりやばい脆弱性だぞw
>>179 DSP版なら購入できるよ
PCパーツと同時購入ね
>>183 ありがとう。
結構2000の知り合いがいるから教えてあげるよ。
「メモリ512MB無いならさすがに諦めて」
とは既に言ってあるんで。
>>184 価格コムでみると、まだXPの在庫を持ってるお店もあるね
でもOS単体だと結構値が張る気がするので
新しいPC購入した方が幸せになれるかも
DELLとかならXPダウングレード権を付けられるし
あと、黒翼猫さんのサイトで今回の対策ツールが紹介されてるよ
186 :
名刺は切らしておりまして :2010/08/04(水) 20:03:08 ID:VlBPBLZ+
実は2kサポート終了前から見つかってたんだろ?この脆弱性 MSは本当にやることが汚いなあ 2k並にシンプルで使いやすいOS出したら許してやる
187 :
名刺は切らしておりまして :2010/08/04(水) 20:30:55 ID:0PFkAj5l
MSの脆弱性は五万とあるが対策はしていない 対策できたら今回のように発表していかにもやってるっていうポーズ
脆弱というか弱すぎ
OS自体、拾い食いがデフォなんだ。 察してやれ。
実は大穴開いてました、というレベルだからなぁ
191 :
名刺は切らしておりまして :2010/08/05(木) 09:47:39 ID:Mh28gNAs
>>187 へー、いま発表されてない脆弱性はいくつぐらいあるの?
五万ぐらいじゃね?w
193 :
名刺は切らしておりまして :2010/08/05(木) 21:46:54 ID:TDQuFHif
Linux → ピラミッド Mac → 姫路城 Windows → 三豊百貨店
windows捨ててlinuxにしてよかった。 再インスコ時にライセンスで蹴られて電話したら割れ物扱いされた恨みは忘れない。
195 :
名刺は切らしておりまして :2010/08/06(金) 20:16:23 ID:s+aAl7Yy
MSが渡してるマニュアルに、電話してきた奴は犯罪者だと思えと書いてるからね。
>>194 > 再インスコ時にライセンスで蹴られて電話したら割れ物扱いされた恨みは忘れない。
俺も同じく、そういうことをされたんで、7を買うかとうか迷ってる
パッチでたけどもう安全と思って良いの?
198 :
名刺は切らしておりまして :2010/08/08(日) 00:43:50 ID:4pv7/p61
やれやれ面倒臭いな また仮想環境でwindwos使うか。