Flashムービーに感染するウィルスが登場！

Zdnetブロードバンドニュースより。
「Flashムービーに感染するウィルスの第一号「SWF/LFM-926」が登場」

アンチウイルスソフトベンダーのSophos（米）は、Shockwave Flashファイルに
感染するウイルスを発見したと発表した。
SWF/LFM-926と命名されたこのウイルスは、Flashファイルを再生する際に、
同じディレクトリにある他のFlashファイルに対して感染を広める。
現時点では他のFlashファイルへの再感染のみで、それ以上の被害はおよぼさない
とのことだが、破壊活動をおこなうタイプの亜種の登場も時間の問題と思われる。
Flashムービーは動画広告バナーなどとしても使用されており、十分な注意が必要だ。

↓ソース元はこちら↓
http://www.zdnet.co.jp/broadband/rbb/0201/09/rbb_0109_04.html

ほんとかよ。破壊活動をするタイプが出てきたらコワー《ﾟДﾟ》

どういう仕組みなんだ？ 詳細がわからんぞ？

次々とよくもまぁ

割れ物のフラッシュ使う奴が多いからだよ。
どんな仕組み化わからんけど、パッチは正規ユーザしか使えないような
強力なプロテクトをかけてほしいね。

FLAファイルじゃなくてSWFファイルに感染するんでしょ？
だったら割れ物を使ってるかどうかは関係ないと思われ

>>5
うむ、そうかもしれん。スマソ
とにかくどういう仕組みなのが興味ある。
フラッシュでＨＰ今作ってるから、公開が遅れそう・・・欝だ

http://www.sophos.com/virusinfo/analyses/swflfm926.html

The virus makes use of the ability of Shockwave files to run scripts. In this case
　it opens a DOS box, launching the command line interpreter to run a debug script
which produces a file called V.COM. This file, which is 926 bytes in length, is
then automatically run by the virus infecting all other SWF files in the current
directory.

面白いね。

フラッシュ内に埋め込まれてるスクリプトで動作しているのか？

こりゃ、うかうか２ちゃんでもフラッシュ踏めなくなったぞ・・

V.COMってのが呼び出せないと動けないってこと？

目新しいところではないけど一応追加情報↓

Impress Broadband Watch
http://www.watch.impress.co.jp/broadband/news/2002/01/09/sophos.htm
Impress InternetWatch
http://www.watch.impress.co.jp/internet/www/article/2002/0109/flash.htm
トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=SWF_LFM.926

>>9
そうじゃなくて、ウィルスがV.COMというファイルを生成するスクリプトを
動かすんだよ。んで、この生成されたファイルが926バイトの長さで、
ウィルスによって実行され、カレントディレクトリの他のSWFファイルに感染するそうだ。

今はまだ、感染したファイルを消せばいいんだろうけど、怖いのは亜種が出てきた
ときだな《ﾟДﾟ》

うかつにFlash見られないな。
ﾀｼﾛとか面白かったのに

＞http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=SWF_LFM.926
＞自身の感染活動のために実行可能型プログラムファイルを作成し実行する
＞ウイルスドロッパー活動を行います。

*.swfがウイルスを作るってことか？

>>13
そーよ

なんか　こわいですね〜

対抗手段どうすりゃいいですか？
Flashを出さなくするしかありませんか

>>16
シマンテックとトレンドマイクロは最新パターンで対応済みだよ。

http://cnet.sphere.ne.jp/Enterprise/News/2002/Item/020109-7.html

> 　新ウイルスが実際にパソコンに感染するのは、マクロメディアのウェブ
> デザイナー向けオーサリングツールに付属しているスタンドアローン(用語
> 解説)プレーヤーでFlashファイルまたはFlash動画を再生した時だけに限ら
> れる。


とのこと。ブラウザ上で見てる分には感染しないそうな。

>>18
そうかそうか！ちょっと安心した。
でもいずれブラウザでも感染しそうだなｗ

あれれ？ImpressのBroadbandWatchにはこんなこと書いてある↓

http://www.watch.impress.co.jp/broadband/news/2002/01/09/sophos.htm
> 　WebブラウザでSWF/LFM-92に感染しているSWFファイルを再生すると、
> 画面に「Loading.Flash.Movie.」と表示され、カレントディレクトリ
> にあるSWFファイルに感染を試みる。

ただcnetの記事の方が、マクロメディアの副社長さんのお話が元になって
るようなので、信頼できそうな気はするけど。

でもいずれは>>19さんのおっしゃるとおりになる気が。

どゆうこと？？
FLASHのActiveScriptは無関係？？
漏れ、FLASHプレーヤー入ってるんだけど。。。（ｗ

>>21
cnetの記事が正しいなら、問題があるのはブラウザ上でFLASHコンテンツを見るためのプラグインではなくて、「スタンドアローンプレーヤー」と呼ばれるFLASHビューワーを使って、感染ファイルを開いたとき、とのこと。

つまり、

・ボクはFLASHのムービーが好きで、よくIEとかネスケとかでそういうページを見ています

という人は問題ない（らしい）。問題があるのは、

・ボクは見てるだけじゃ物足りなくなったんで、ソ○マップでFLASH5を買ってきてインストールしました
・でもってお気に入りのFLASHムービーは全部ダウンロードして、「〜.swf」っていう名前のファイルを直接ダブルクリックして見てます

という人が危ない、ということらしい。

http://headlines.yahoo.co.jp/hl?a=20020109-00000018-zdn-sci

NTカーネルのWindowsだけに感染するそうで、ﾏｶｰはもちろん、98/Me
の人も大丈夫らしい。

>>22
説明上手さんﾊｹｰﾝ!!

>>22は歌丸の弟子と見た

>>22
ああ、スタンドアローンプレーヤーの方か。
ちか、Flash入れてるのよ（ｗ
うーん、なんと言うか、スタンドアロンプレーヤーの脆弱性なのね？多分。。
.swf関連付け切り替えとくか。。。
でも、どういう仕組みなんだろね。。。
ActiveScriptぢゃなくて、Flash自体のActionScriptは関係無いのかな。。
>20
ソフォスによれば、イギリスにある同社のウイルスラボがウイルス作者の
情報交換用コミュニティでやりとりされていたSWF/LFM-92に関する情報を
入手。現時点では、被害報告などの届け出は出ていないものの、今後同様
の仕組みを利用した亜種が出現する可能性もあり、ユーザーやウイルスベ
ンダに対して注意を呼びかけているという。

・・・どっかで、元ネタ拾ってきたんだろうとは思ったけど。
どこのサイトだろ。。。もしや、最近突然潰れたあすこかな。。
元ネタ探す旅に出るぢょ。。

>>24 & >>25
ﾁｮﾄｳﾚｼｲ

>>26=21
元ﾈﾀ探しｶﾞﾝﾊﾞﾃｸﾀﾞｻｰｲ！

ブラウザで見るには
問題ない？関連をＩＥにして

>>28
ソフォスのHPには、「Macromedia Flash playerを使って開くと感染する」とある。
これを信用すれば、ブラウザで見るには問題ないと思われるが・・・。
(ソフォスのHPに掲載されている画面を見ると、Flash Playerを使っているのがわかる)
Flash Playerの脆弱性であることを祈るよ。

>>22,23

全て該当してしまいました。被害者予備軍です。

>>22
ｶｺｲｲ！！

漏れはirfanviewってのを使ってオフラインのフラッシュを再生させてるんだけど、これもまずいのかな。
ttp://www.irfanview.com/

Macromediaの英語サイトに解説が載ってました（日本語サイトはまだ）↓
http://www.macromedia.com/support/flash/ts/documents/swf_clear.htm

ざっと読んでみたところ：

・この問題はWindows上でスタンドアローンプレーヤーを使った場合に
限られ、ブラウザ上でプラグインを用いてる分には問題ない、とのこと。
（※NTカーネルに限るという記述は無し）

・「the content must be run in a Macromedia stand-alone Flash
Player or associated Projector executable to represent a risk.」
→スタンドアローンプレーヤーだけでなくて、Flash Player EXとか
Irfanviewとかもダメ、ってことか？よくわからん。

・「SOLUTION」って書いてあるからもうパッチが出てんのかと思ったら
１の「SWF Clear Utility」ってのは、「SWFファイルの関連付けを解除
するユーティリティ」、２に至っては「怪しいEXEファイルは開くな」、
って、全然パッチでもなんでもなかった。

なんにせよブラウザで見る分にはセーフ、ってのは、多くのFLASHファン
にとっては朗報では。

フラッシュマニアでもだめなのか？

フェラッシュマニアでもだめなのか？

fscommandのexecで何か叩くんだろうなぁ。

>>22さんありがとう。
ヘタな直訳ぽいがこんな感じでしょうか。
『いずれの場合(ダウンロードした場合/メールで受信した場合)でも、
その内容がマクロメディア・スタンドアローンFlash Playerまたは
これに対応したプロジェクター実行プログラムから再生されない限りは、
危険を意味しない。』
そのページには続いてこうあるね。
『このプレーヤーは、どのブラウザでもその導入時には組み込まれず、
マクロメディアFLASHが公認する製品によってのみ組み込まれる。』
だからマクロメディアとは全く関係のないビューワなら大丈夫では？

>>36
その可能性が高いような気がします。
NTカーネルでのみ動作ってのは、アプリケーションへのパス記述がNTカーネル用になっているということでは？
"c:/winnt/（以下省略）"って感じに…。

>>37
この仮定が正しいとしたら、fscommand-execが動作するFlashプレイヤーは全て危険ということになります。

念のために.swfファイルの関連付けを、Flashプレイヤーからブラウザに切り替えておくのが吉ですかね。

command.comは叩けないけどcmd.exeなら叩けるんじゃないか？
手元にWindows2000がないのが惜しい・・

Flashってそんなことできるのか・・怖いな。

>>22
まさに俺（後者）

ここのサイトの記事によると、もうバッチがでてるらしいね
http://japan.internet.com/webtech/20020110/11.html

>>42
バッチ（藁

>>42
見てみたんだけど、それって漏れが33で書いた「SOLUTION」のことでは？
間違ってたらｽﾏｿ。

う〜ん、スタンドアローンプレーヤーが危ないから関連づけを外して
ブラウザで見ましょう、ってのもわからなくはないんだけど、スタンド
アローンプレーヤーで見たい、って時もあるしなあ。

fscommand周りが原因だからって、よもやfscommandを無効にするなん
てことはできないし。

結局アンチウィルス系のソフトでガードするしかないんでしょうか。

ZDNETヘルプデスクにこの件の解説と論評が載ってます。
http://www.zdnet.co.jp/help/howto/security/v15/index.html

今後新たなタイプが出現したときのことを考えて用心しましょう。