【不具合】メモリ上で実行する新種の“ファイルレス”Windowsマルウェアが出現
http://www.computerworld.jp/topics/563/201998/
非常にまれな、新しいタイプのマルウェアが発見された。被害者のPCのメモリ上ですべてが実行され、ハードディスクにファイルを作成しない「ファイルレス」なマルウェアで、
おそらくこれまで類を見なかったタイプだという。
ロシアのセキュリティ・ベンダーKaspersky Labは3月21日、ロシアのWebサイト上で、既知のJava脆弱性「CVE-2011-3544」を突く攻撃があったという報告を受けた。だが、
“トロイの木馬”型攻撃を仕掛けるために通常はハードディスクに保存されるファイルが存在しなかったという。
実はこの攻撃は、感染したWebサイトに埋め込まれたiFrameからJavaScriptを実行させて、暗号化された「.dll」形式のペイロードを直接、Javaw.exeの処理に送り込むという
形を取っている。
この珍しいマルウェアには2段階の目的がある。まず最初に、Windowsのセキュリティ機構「User Account Control」(UAC)を無効化すること。次に、ボットが攻撃指令を配信
するコントロール・サーバと通信できるように設定を先導することである。例えば、PCからデータを盗み取るトロイの木馬「Lurk」をひそかにインストールすることもその1つだ。
ファイルをハードディスク上に作成しないという攻撃手法は、ユーザーがPCを再起動すればメモリからマルウェアを除去できるため、攻撃を続けるには再度感染させなければ
ならないという不利な面がある。一方でこの欠点と引き換えに、非常に見つかりにくいという利点もある。ターゲットのPCにはファイルが書き込まれず、少なくとも初期段階では
ファイルの変更も生じないからだ。脆弱性に対するパッチ修正が行われていなければ、セキュリティ・プログラムがこのマルウェアを検出することは難しい。
さらにJavaを利用しているため、WindowsのみならずMacやLinuxなど、マルチ・プラットフォームで動作する可能性がある。ただし、今回報告されたケースはWindowsのみ
だったという。
Kasperskyは新種のマルウェアについて、10年ほど前に大流行した悪名高い「Code Red」や「Slammer」といったワーム攻撃を思い起こさせるものだと警告する。これらの
ワームはMicrosoftの特定のプログラムのみを標的にしてバッファ・オーバーフローを引き起こすため、やはりファイルを必要としなかった。
非常にまれな、新しいタイプのマルウェアが発見された。被害者のPCのメモリ上ですべてが実行され、ハードディスクにファイルを作成しない「ファイルレス」なマルウェアで、
おそらくこれまで類を見なかったタイプだという。
ロシアのセキュリティ・ベンダーKaspersky Labは3月21日、ロシアのWebサイト上で、既知のJava脆弱性「CVE-2011-3544」を突く攻撃があったという報告を受けた。だが、
“トロイの木馬”型攻撃を仕掛けるために通常はハードディスクに保存されるファイルが存在しなかったという。
実はこの攻撃は、感染したWebサイトに埋め込まれたiFrameからJavaScriptを実行させて、暗号化された「.dll」形式のペイロードを直接、Javaw.exeの処理に送り込むという
形を取っている。
この珍しいマルウェアには2段階の目的がある。まず最初に、Windowsのセキュリティ機構「User Account Control」(UAC)を無効化すること。次に、ボットが攻撃指令を配信
するコントロール・サーバと通信できるように設定を先導することである。例えば、PCからデータを盗み取るトロイの木馬「Lurk」をひそかにインストールすることもその1つだ。
ファイルをハードディスク上に作成しないという攻撃手法は、ユーザーがPCを再起動すればメモリからマルウェアを除去できるため、攻撃を続けるには再度感染させなければ
ならないという不利な面がある。一方でこの欠点と引き換えに、非常に見つかりにくいという利点もある。ターゲットのPCにはファイルが書き込まれず、少なくとも初期段階では
ファイルの変更も生じないからだ。脆弱性に対するパッチ修正が行われていなければ、セキュリティ・プログラムがこのマルウェアを検出することは難しい。
さらにJavaを利用しているため、WindowsのみならずMacやLinuxなど、マルチ・プラットフォームで動作する可能性がある。ただし、今回報告されたケースはWindowsのみ
だったという。
Kasperskyは新種のマルウェアについて、10年ほど前に大流行した悪名高い「Code Red」や「Slammer」といったワーム攻撃を思い起こさせるものだと警告する。これらの
ワームはMicrosoftの特定のプログラムのみを標的にしてバッファ・オーバーフローを引き起こすため、やはりファイルを必要としなかった。
|
|
|
2 :名無しさん@お腹いっぱい。:2012/03/22(木) 23:59:07.14 ID:???
どうすれば防げるんだ
3 :名無しさん@お腹いっぱい。:2012/03/23(金) 02:15:15.35 ID:hgZMUzVh
>>2
外部記憶メモリやネットを使わなければ防げる
外部記憶メモリやネットを使わなければ防げる
4 :名無しさん@お腹いっぱい。:2012/03/23(金) 05:11:32.02 ID:t3yQV6Vc
>>2
Javaw.exeの削除
Javaw.exeの削除
5 :名無しさん@お腹いっぱい。:2012/03/23(金) 05:18:39.05 ID:???
>>2
Javaを入れなければ良い
さらにJavaを利用しているため、WindowsのみならずMacやLinuxなど、マルチ・プラットフォームで動作する可能性がある。ただし、今回報告されたケースはWindowsのみ
だったという。
Javaを入れなければ良い
さらにJavaを利用しているため、WindowsのみならずMacやLinuxなど、マルチ・プラットフォームで動作する可能性がある。ただし、今回報告されたケースはWindowsのみ
だったという。
6 :名無しさん@お腹いっぱい。:2012/03/23(金) 10:22:23.06 ID:???
こういう悪知恵をもっと有意義なことに使えばいいのにとつくづく思う
7 :名無しさん@お腹いっぱい。:2012/03/23(金) 11:32:03.08 ID:???
価値観の違い
8 :名無しさん@お腹いっぱい。:2012/03/23(金) 16:24:11.34 ID:???
ブラウザからJavaだから、Javaアプレット無効とかJavaプルコギン無効で
回避できるってこと?
回避できるってこと?
9 :名無しさん@お腹いっぱい。:2012/03/23(金) 21:20:01.52 ID:???
Javaの脆弱性はMSは防ぎようがない。
10 :名無しさん@お腹いっぱい。:2012/06/03(日) 13:13:25.55 ID:???
Windowsは危険だ
11 :名無しさん@お腹いっぱい。:2012/06/03(日) 13:13:56.76 ID:???
Macほどじゃないけどね。
12 :名無しさん@お腹いっぱい。:2012/06/03(日) 13:48:52.01 ID:???
MS信者の妄想乙wwwwww
13 :名無しさん@お腹いっぱい。:2012/06/04(月) 03:14:38.05 ID:???
JavaだとMacもヤバいんじゃないか?
14 :哇狸野雉会 匯蛙労 野慈蚕 優多野手頭 弖十=優多野手頭:2012/06/05(火) 09:56:50.10 ID:7j3Lgj14
狆閔贐・儔未人・齠嵋人-チュォミ人=瑁喰と蟻輊惡面儿・戲豬冕尽-チョメ儘が横須賀の要塞に居る。
偽自民党員-小笠原出身の扇のそっくりさんの孫『偽清水』『偽アミ』『偽エアロ(エリ)』は蟻輊惡面儿・戲豬冕尽(ギチョメジン)。「支那(級)畜アミ」『朝鮮見本の豼貔』のアミが 私に話す『札幌市立北九条小学校の小1のクラスメイト・牛乳のシズちゃん』である。
その家族は 全員、逃げる為に有名人似に整形する詐欺家族。森、安部、野田、扇、野田聖子のそっくりさんの詐欺師家族はユダヤでもカナンでも無い。イロマンゴ島の部族である。
シズちゃんと祖母『偽扇』が魔女である。
横須賀の要塞に アミやタエの親戚の振りで居る。まだ、続けているのは その家族のみ。口に石を…阿鼻の形相に。
天皇家 織田繪璃奈(横濱・野島えり)楷戴
A(E)rena Oda Medici Lancasta Vintevecom Yokohama-Eleonora de' Medici.
еёжЭЮЯабЧЦХЛθ γδεζηθ
弖十=優多野手頭=慧吏載地衛 帝跿(徒)
哇狸野雉会 匯蛙労 野慈蚕 優多野手頭
15 :名無しさん@お腹いっぱい。:2012/06/06(水) 00:40:42.30 ID:???
>>13
JavaってMacに入ってるの?
JavaってMacに入ってるの?
>>15
今はデフォルトでは入ってないが、後からインストールは可能。
今はデフォルトでは入ってないが、後からインストールは可能。