Winnyを狙ったワーム・ニュイルス情報 Part47
あーと、別件だがWMF脆弱性について
ttp://www.jpcert.or.jp/at/2005/at050014.txt
はともかくとして
> Windows XP will detect and process a WMF file based on its
> content ("magic bytes") and not rely on the extension alone,
> which means that a WMF sailing in disguise with a different
> extension might still be able to get you.
なんて話もあるので、拡張子偽装も可能。
しかも、コイツは問答無用でWindowsが実行するぞ。ダブルクリックの有無に関係なく。
> 問題のWMFファイルをデスクトップに置く
> 問題のWMFファイルが入ったフォルダを開く
だけでもOUTだ。nyの場合cashにあるうちはOKだが、downフォルダに落ちてきてたら
そこを見に行くだけでもUOT。仕込まれないことを祈れ。
ttp://www.jpcert.or.jp/at/2005/at050014.txt
はともかくとして
> Windows XP will detect and process a WMF file based on its
> content ("magic bytes") and not rely on the extension alone,
> which means that a WMF sailing in disguise with a different
> extension might still be able to get you.
なんて話もあるので、拡張子偽装も可能。
しかも、コイツは問答無用でWindowsが実行するぞ。ダブルクリックの有無に関係なく。
> 問題のWMFファイルをデスクトップに置く
> 問題のWMFファイルが入ったフォルダを開く
だけでもOUTだ。nyの場合cashにあるうちはOKだが、downフォルダに落ちてきてたら
そこを見に行くだけでもUOT。仕込まれないことを祈れ。
|
|
|
275 :[名無し]さん(bin+cue).rar:2005/12/30(金) 01:33:17 ID:Mw36sLjy0
Σ(゚д゚lll)
276 :[名無し]さん(bin+cue).rar:2005/12/30(金) 01:34:01 ID:rCpU/J8u0
>274 UOT→OUTな。
とりいそぎの対策としてはshimgvw.dllをシステムから削除する
ファイル名を指定して実行で、regsvr32 /U shimgvw.dll
ただし、これを消すとWindowsの画像とFAXビューワでの画像表示が
不能になる。ほかのツール(の独自dll)で表示させてるならOK。
これで、welomochを送り込まれると、あとは好き放題だな。
Microsoftの緊急パッチは、正月明けになるのかも。
とりいそぎの対策としてはshimgvw.dllをシステムから削除する
ファイル名を指定して実行で、regsvr32 /U shimgvw.dll
ただし、これを消すとWindowsの画像とFAXビューワでの画像表示が
不能になる。ほかのツール(の独自dll)で表示させてるならOK。
これで、welomochを送り込まれると、あとは好き放題だな。
Microsoftの緊急パッチは、正月明けになるのかも。
277 :[名無し]さん(bin+cue).rar:2005/12/30(金) 01:48:19 ID:pORqADqV0
これマジで怖いな。
shimgvw.dll を復活させたいときはどう打てばいいの?
shimgvw.dll を復活させたいときはどう打てばいいの?
278 :[名無し]さん(bin+cue).rar:2005/12/30(金) 01:50:14 ID:pORqADqV0
regsvr32 shimgvw.dll
でいいのか。 制限付きユーザだからうまくいかなかっただけかな。
でいいのか。 制限付きユーザだからうまくいかなかっただけかな。
279 :[名無し]さん(bin+cue).rar:2005/12/30(金) 02:02:25 ID:r2QiJN9L0
・拡張子偽装も可能
・実行しなくてもフォルダ見ただけで感染
無敵だな
ファイラー使ってればOKとかそういうもんでもないのかな……
・実行しなくてもフォルダ見ただけで感染
無敵だな
ファイラー使ってればOKとかそういうもんでもないのかな……
280 :[名無し]さん(bin+cue).rar:2005/12/30(金) 02:32:20 ID:cFM/v/sc0
ウイルスバスター更新できなくなってアンインストールしちゃった・・
変わりに入れたノートン重くて使いにくい〜
もう一回バスターインストールしたら期限切れで起動しないし
参ったなぁ
変わりに入れたノートン重くて使いにくい〜
もう一回バスターインストールしたら期限切れで起動しないし
参ったなぁ
281 :[名無し]さん(bin+cue).rar:2005/12/30(金) 02:37:02 ID:T1CPuCBM0
282 :[名無し]さん(bin+cue).rar:2005/12/30(金) 03:20:28 ID:pORqADqV0
nyにこの穴を利用したキンタマとかが流れたら洒落にならんな。
エクスプローラでDownフォルダ開いただけであぼーん・・・・
エクスプローラでDownフォルダ開いただけであぼーん・・・・
283 :[名無し]さん(bin+cue).rar:2005/12/30(金) 03:20:28 ID:ZIt7hUDb0
284 :[名無し]さん(bin+cue).rar:2005/12/30(金) 04:19:51 ID:rCpU/J8u0
WMF脆弱性に関しては、先生は今のところ対応できてないらしい。
詳細はセキュmemoとかスラドでも見てくれ。
ウイルスチェックベンダの対応はまちまち。
>>212のリンク先(現時点では単なるブラクラ仕様のサンプル)で
個別環境の確認をヨロ。htmlで、リンクを読むだけでも発動する。
結構簡単に各種悪さを仕込めるのでしばらく要注意だな。
詳細はセキュmemoとかスラドでも見てくれ。
ウイルスチェックベンダの対応はまちまち。
>>212のリンク先(現時点では単なるブラクラ仕様のサンプル)で
個別環境の確認をヨロ。htmlで、リンクを読むだけでも発動する。
結構簡単に各種悪さを仕込めるのでしばらく要注意だな。
285 :[名無し]さん(bin+cue).rar:2005/12/30(金) 04:31:12 ID:/e0sV5l00
(同人誌)(C69)[カズマG-VERSION]TIMTIMマシン15号(ガンダムSD ミーア本)
にウィルスと思われるexe発見
001.exeで自動起動するようにhtmlのソースが仕込まれてる。
まだ起動してないからどうなるかは不明。
ウィルスバスターで検知なし。
にウィルスと思われるexe発見
001.exeで自動起動するようにhtmlのソースが仕込まれてる。
まだ起動してないからどうなるかは不明。
ウィルスバスターで検知なし。
286 :[名無し]さん(bin+cue).rar:2005/12/30(金) 04:38:35 ID:/e0sV5l00
exeテキストで開いてみたらなんか文字例が大量にある。
単なる亜種っぽい。
単なる亜種っぽい。
287 :[名無し]さん(bin+cue).rar:2005/12/30(金) 05:45:07 ID:pORqADqV0
wmf入りのzipとか流れそう
288 :[名無し]さん(bin+cue).rar:2005/12/30(金) 05:45:59 ID:pORqADqV0
というかもう流れてるんだろうな.. 拡張子偽装して。('A`)
289 :[名無し]さん(bin+cue).rar:2005/12/30(金) 05:57:42 ID:Du470l530
苺キンタマの再来とか・・・(((((;゚Д゚))))ガクガクブルブル
290 :[名無し]さん(bin+cue).rar:2005/12/30(金) 06:06:01 ID:L6QeRCF70
ワクワク
291 :[名無し]さん(bin+cue).rar:2005/12/30(金) 09:33:00 ID:bPxNKebX0
292 :[名無し]さん(bin+cue).rar:2005/12/30(金) 13:21:00 ID:e+0v5xzw0
亜種ってどういう意味か分かってるんかいな。
単なる亜種? なんだそれ(w
単なる亜種? なんだそれ(w
293 :[名無し]さん(bin+cue).rar:2005/12/30(金) 14:56:34 ID:sA5zEH8L0
>>292
http://66.102.7.104/search?q=cache:owHYs87QcWMJ:www.wdic.org/%3Fword%3DAntinny%25A1%25A5K%2B%253ATECH+%E5%8D%98%E3%81%AA%E3%82%8B%E4%BA%9C%E7%A8%AE&hl=en&lr=lang_ja&inlang=ja
http://66.102.7.104/search?q=cache:owHYs87QcWMJ:www.wdic.org/%3Fword%3DAntinny%25A1%25A5K%2B%253ATECH+%E5%8D%98%E3%81%AA%E3%82%8B%E4%BA%9C%E7%A8%AE&hl=en&lr=lang_ja&inlang=ja
294 :ひみつの文字列さん:2024/09/29(日) 06:47:41 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
295 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:06:14 ID:kjCdH7S80
296 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:14:14 ID:PNY9uY2k0
久しぶりに踏んでしまったが亜種っぽい?
C:\WINDOWS\Pornoshop_elomentsフォルダが作成されて、下のファイルが作られてた。
でポート25で通信されかけてた(単に25でつないできた奴がいただけかもしらんが)
2,289,461byte (無修正) (おちょくりんこ) [ユーザー名] ←HGの真似をしてたらリアルゲイに犯され号泣.zip
990,284byte kimmo.scr
1,292,412byte (ジャーンジャーン) げぇっ [ユーザー名]! あわわわ… .exe
zipの中身はお気に入りフォルダのURLファイル(最上階層のみ)
C:\WINDOWS\Pornoshop_elomentsフォルダが作成されて、下のファイルが作られてた。
でポート25で通信されかけてた(単に25でつないできた奴がいただけかもしらんが)
2,289,461byte (無修正) (おちょくりんこ) [ユーザー名] ←HGの真似をしてたらリアルゲイに犯され号泣.zip
990,284byte kimmo.scr
1,292,412byte (ジャーンジャーン) げぇっ [ユーザー名]! あわわわ… .exe
zipの中身はお気に入りフォルダのURLファイル(最上階層のみ)
297 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:21:08 ID:kjCdH7S80
>>296
きんもー☆
きんもー☆
298 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:23:31 ID:2Nm2Kpao0
299 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:28:52 ID:8O8OJx9g0
Cドライブの空き容量が少なくなってきたので、
Winny2フォルダごとDドライブに移したのですが、大丈夫ですよね?
Winny2フォルダごとDドライブに移したのですが、大丈夫ですよね?
300 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:29:06 ID:u60oR17E0
>>294
いや、だから……拡張子はWMFである必要はなくて、JPGとか、PNGとかBMPでも
とにかくWindows(の画像ファイルエンジンであるshimgvw.dll)が扱える
拡張子だと、今回の脆弱性に引っかかるってこと、なんだが。
ファイルの関連付けで、Windows Picture and Fax Viewerにリンクされてる
拡張子は全部危ないんだよ。たとえばZIPでアーカイブされていても、解凍先
のフォルダを見に行った時点で発動するし……。なお、現時点では、
> 手元の環境では「縮小版」と「並べて表示」の状態ではフォルダの内容を
> 表示しただけで発現するようだという感触を持ちました。(設定が「アイ
> コン」、「一覧」、「詳細」の場合には、とりあえずフォルダを開いただ
> けでは exploit の発動は起きないような感じでした)。
なんて話もある。一方で、
any application which automatically displays or renders WMF files is
vulnerable to the problem. This includes Google Desktop
WMFファイルを扱えるアプリのほとんどは、例のDLLを利用するのでたぶん全滅
Google Desktopでヒットしただけでも発動するとか。
ウイルスチェックベンダが対応し、徐々にトロイとして検出されるようになっては
きているが、画像ファイルに関してはデフォでチェックしない設定になってるかも
知れん。チェックしようとしてdownフォルダを直接開かないように(上部階層で
フォルダ指定で検索対象にできるように)、深い階層にしとくのも有効かな。
やっかいだのう。
いや、だから……拡張子はWMFである必要はなくて、JPGとか、PNGとかBMPでも
とにかくWindows(の画像ファイルエンジンであるshimgvw.dll)が扱える
拡張子だと、今回の脆弱性に引っかかるってこと、なんだが。
ファイルの関連付けで、Windows Picture and Fax Viewerにリンクされてる
拡張子は全部危ないんだよ。たとえばZIPでアーカイブされていても、解凍先
のフォルダを見に行った時点で発動するし……。なお、現時点では、
> 手元の環境では「縮小版」と「並べて表示」の状態ではフォルダの内容を
> 表示しただけで発現するようだという感触を持ちました。(設定が「アイ
> コン」、「一覧」、「詳細」の場合には、とりあえずフォルダを開いただ
> けでは exploit の発動は起きないような感じでした)。
なんて話もある。一方で、
any application which automatically displays or renders WMF files is
vulnerable to the problem. This includes Google Desktop
WMFファイルを扱えるアプリのほとんどは、例のDLLを利用するのでたぶん全滅
Google Desktopでヒットしただけでも発動するとか。
ウイルスチェックベンダが対応し、徐々にトロイとして検出されるようになっては
きているが、画像ファイルに関してはデフォでチェックしない設定になってるかも
知れん。チェックしようとしてdownフォルダを直接開かないように(上部階層で
フォルダ指定で検索対象にできるように)、深い階層にしとくのも有効かな。
やっかいだのう。
301 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:35:28 ID:B1t96o7e0
ついに最後の牙城である画像にまできたか・・・という感じ
302 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:36:20 ID:Dki0TTan0
DLLをはずしただけじゃだめなの?
303 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:37:08 ID:iGPT43WC0
当たり前だけど「フォルダオプション」→「ファイルの種類」からWMFファイルを
削除してみたら発動しませんでした。shimgvw.dllそのものは削除しないから、
他の画像はWindowsの画像とFAXビューワで見られる。パッチ出るまではこれで
いーや。
削除してみたら発動しませんでした。shimgvw.dllそのものは削除しないから、
他の画像はWindowsの画像とFAXビューワで見られる。パッチ出るまではこれで
いーや。
304 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:37:36 ID:vhbCl4J50
画像のウィルスなんか昔からあったじゃん・・・
305 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:37:47 ID:AYU8b7HZ0
一体何があった
306 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:39:20 ID:rOjuCUy+0
でも原理は単純だから対策するのも簡単だな
307 :[名無し]さん(bin+cue).rar:2005/12/30(金) 15:39:45 ID:FpPsTu3L0
>>303
いやだから拡張子偽装(ry
いやだから拡張子偽装(ry