【検出】random js toolkit【不可能】

米Finjanは米国時間1月14日，信頼される正規のWebサイトを悪用して罠を仕掛ける新しい攻撃ツール
「random js toolkit」を検出したと発表した。
2007年12月には，このツールキットを使って1万件を超えるWebサイトに罠が仕掛けられていたという。
Finjanが「random js toolkit」と名づけたこのツールキットは，エンドユーザーのマシンにトロイの木馬攻撃を
仕掛けるもの。
感染したマシンからドキュメント，パスワード，Webサイト閲覧の履歴といったデータを攻撃者に送信する。
random js toolkitはJavaScriptコードであり，動的に生成され，アクセスされるたびに変化する。
スクリプトをWebページに動的に組み込むことで，一度しかアクセスできないファイル名をランダムで生成して
提供する。
悪意のあるスクリプトが埋め込まれたページを一度表示させると，再びこのページを参照することはできない。
そのため，従来のシグネチャを使ったセキュリティ対策ソフトウエアでは，検出がほぼ不可能という。
Finjanによれば，random js toolkitは，信頼されるWebサイトを悪用して攻撃を仕掛けるトレンドの一例で
あるという。この手の新しい攻撃に対抗するためには，オリジナルのURL，シグネチャ，サイトの評判などに
依存することなく，動的なコードを検査し，攻撃をリアルタイムで検出して遮断できる技術が必要になるとして
いる。

http://itpro.nikkeibp.co.jp/article/NEWS/20080115/290937/

　　　　　　　　　　　　　　　　　　　　　　　　　　　、′　　　　　、　’、　　′　　　　　’　　　　　　；　　、
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　．　’　　　　　　’、　　　′　’　　　．　・　　
　　　　　　　　　　　　,　-─-　､　　　　　　　　　　　、′・．　’　　　；　　　’、　’、′‘　．・”　
　　　　　　　　　　／::::::::::::::::::::::::＼
　　　 　 　 　 　 /:::::;;;::::::::::::::::::;;;::::::',　　　　　　　　　　　　’、′・　　’、．・”；　　” 　’、　
　　　　　　　　　l:::::(●)::; - ､:(●):::::l　　　　　　’、′　　’、　　(;;ﾉ;;　(′‘ ・．　’、′”；
　　r .､　　　　　l:::::::::::::（ ー' ）::::::::::::l　　　　’、′・　 (　（´;^｀⌒)∴⌒｀．・　 　”　；　　’、′・
　　l:::::l　　　　　 〉:::::::::::::｀~´:::::::::::::〈　　　　　､　’、　’・　､´⌒,;y'⌒(（´;;;;;ﾉ､"'人 　　　 　ヽ
　　|:::::l　　　　 /::/｀ ─----─ ´ ﾍ:',　　　　　　　　､(⌒ ;;;:;´'从 ;'　　 ;:;;) ;⌒ ;; :） )､　　　ヽ
　　|::::::',　　　/::/　　　　　　＿_l^l_　';:',　　　　　　 （　´;`ヾ,;⌒)´　 从⌒ ;) ｀⌒ ）⌒:｀．・　ヽ 　　　 　,[]
　　|::::::::ヽ.　/::/　　　　　　｢r─ュ |.　';:ヽ　　；゜+° ′、:::::．　:::サザエさん（,ゞ､⌒） ;;:::)::ﾉ　　　　ヽ／´　　
　　l:::::::::::::｀::::;'　 　 　　 　 |.|　　 l | 　 l::::ヽ 　　　　｀:::､　ﾉ　 ...;:;_)　　...::ノ　 ソ　...::ノ　　
　 　';:::::::::::::::l. 　 　 　　　　| !.-'´　|　　l:::::::::',
　　　ヽ::::::::::l　　　　　　 　 | 　(￣:｀:::-､l:::::::::',
　　　　｀7:::::!　　　　 　 　 └─ヽ::::::::::::::::::::::::l
　　　　　l:::::|　　　　　　　　　　　　｀丶､ _:::::::ﾉ
　　　　　|:::::|　　　　　　　　　　　　　　　|:l

怖い

Rootkit検出テスト結果

　　　　　　　　　　　　　　　（MAX 8）
Rootkit Unhooker 3.7.300　　　　7.5
GMER 1.0.13　　　　　　　　　　　 7
Kaspersky Anti-Virus 7.0　　　　6.5
Avira Rootkit Detection 1.0　　 .6.5
AVG Anti-Rootkit 1.1　　　　　　.5.5
Panda AntiRootkit 1.08　　　　　.5.5
Sophos Anti-Rootkit 1.3.1　　　 5.5
Dr.Web 4.44　　　　　　　　　　　　5
TrendMicro RootkitBuster 1.6　.5
Symantec Anti-Virus 2008　　 .4.5
F-Secure Anti-Virus 2008　　　4
McAfee Rootkit Detective 1.1　3.5
BitDefender Antivirus 2008　　 3
McAfee VirusScan Plus 2008　.1.5
Eset Nod32 Anti-Virus 3.0　　　1
Trend Micro Antivirus plus　　　1
　Antispyware 2008

ttp://www.anti-malware.ru/index.phtml?part=tests&test=antirootkits1

■Webサイト4万ページに不正スクリプト　トルコのMSNBCも感染
ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html
■150ドメインのWebサイト4万ページ以上に不正スクリプトが埋め込まれていたことが発覚した。
ttp://isc.sans.org/diary.html?storyid=3621

■その時点で不正スクリプトを検知できた製品の一部
AntiVir 7.6.0.30 2007.11.06 TR/PSW.OnlineGames.gul
AVG 7.5.0.503 2007.11.06 PSW.OnlineGames.QCP
BitDefender 7.2 2007.11.06 Trojan.PWS.Onlinegames.NMG
DrWeb 4.44.0.09170 2007.11.06 Trojan.PWS.Gamania.5503
Kaspersky 7.0.0.125 2007.11.06 Trojan-PSW.Win32.OnLineGames.gul
Symantec 10 2007.11.06 Infostealer.Gampass

■NOD32等は、その時点で検知できなかった。
NOD32 2641 2007.11.06 - スルー

■新種ルートキットの検出テスト
http://pc11.2ch.net/test/read.cgi/sec/1087037111/410

■新種マルウェアの検出テスト
http://pc11.2ch.net/test/read.cgi/sec/1087037111/404

■AV-Comparativesの総合的検出力テスト
http://pc11.2ch.net/test/read.cgi/sec/1087037111/336
http://pc11.2ch.net/test/read.cgi/sec/1087037111/472

■AV-Test.orgという専門機関のアンチウイルス検知力テスト結果
http://pc11.2ch.net/test/read.cgi/sec/1087037111/411

■www.virus.grの2007度5月最新テスト結果
http://pc11.2ch.net/test/read.cgi/sec/1087037111/401

【ITpro　日経コミュニケーション】

■知っておきたいウイルス対策を回避する手口
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20070806/279174/
■検知できたアンチウイルス製品は、検知名が赤い文字で表記されている。
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20070806/279174/ph02.jpg

日経の検証記事は流石に分かり易い。

■マカフィー・ユーザーの検証ブログ
ワードパッドなどで簡単に埋め込める悪質なオブジェクトがあることが紹介。

初期の段階で検知できた製品と出来なかった製品
ttp://vil.nai.com/images/Blog-%20RTF%20Malware4.JPG
ttp://www.avertlabs.com/research/blog/index.php/2007/05/25/rich-text-malware/

■セキュリティソフトへ攻撃を行うマルウェアをあえて実行して、
　　セキュリティソフトのセルフ・ディフェンス能力を調べたテスト結果。
　　ttp://www.anti-malware-test.com/

1位　Kaspersky Internet Security 7.0 (97%)

2位　VBA32 Antivirus 3.11 (71%)
3位　Symantec Internet Security 2007 (71%)
4位　F-Secure Internet Security 2007 (61%)

5位　ZoneAlarm Internet Security 7.0 (58%)
6位　Panda Internet Security 2007 (48%)
7位　McAfee Internet Security 2007 (47%)
8位　ESET Smart Security 3.0（NOD32） (44%)

以下　略）

1　WebWasher　　1,023,742　　99,9 %
2　AVK 2008　　　1,022,418　　99,8 %
3　AntiVir　　　　　1,020,627　　99,6 %
4　Avast!　　　 　　1,018,204　　99,4 %
5　Trend Micro　　1,009,662　　98,6 %
6　Symantec　 　　1,006,849　　98,3 %
7　AVG　　　　 　　1,005,006　　98,1 %
8　BitDefender　　1,003,902　　98,0 %
9　Kaspersky　　　1,003,470　　98,0 %
10 Ikarus　　 　　　1,002,894　　97,9 %
11 Sophos　 　　　1,001,655　　97,8 %
12 F-Secure　　　　999,806　　97,6 %
13 Microsoft　　 　　992,880　　96,9 %
14 F-Prot　　　　　　986,961　　96,3 %
15 Panda　　　 　　　979,409　　95,6 %
16 Rising　　　　　　　962,674　　94,0 %
17 Norman　　　　　　962,191　　93,9 %
18 McAfee　　　　　　959,919　　93,7 %
19 Fortinet　　　　　　957,558　　93,5 %
20 Nod32　　　　　　　953,936　　93,1 %
21 Dr Web　　 　　　　887,736　　86,7 %
22 VBA32　　　　　　　885,313　　86,4 %
23 QuickHeal　　　　　862,919　　84,2 %
24 ClamAV　　　　　　791,505　　77,3 %
25 Command　　　　　729,233　　71,2 %
26 VirusBuster　　　　693,944　　67,7 %
27 K7 Computing　 　571,329　　55,8 %
28 eTrust-VET　 　 　566,161　　55,3 %
ttp://blog.chip.de/0-security-blog/security-suiten-2008-im-test-q12008-20080122/

Webの脅威 ： ITpro特集　2008/01/08
ウイルス検出テスト：独自サンプルの検出率に違い
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20071215/289572/?ST=web_threat

対策ソフトで最も重要なのは、ウイルスを見逃さないこと。その実力を探るため、検出テストを実施した。
今回のテストは、セキュリティに関する調査や研究をしている
日本コンピュータセキュリティリサーチ（JCSR）の遠藤基コンピュータウイルス主席研究員と、
セキュリティ対策製品やソリューションを開発販売するセキュアブレインの星澤裕二プリンシパルセキュリティアナリストの両氏に依頼した。

テストに使用したサンプルは、
（1）ワイルドリストに掲載された598種類のウイルス、
（2）ワイルドリストを補完する目的でJCSRが独自に収集したウイルス259種類、
（3）セキュアブレインが研究目的で収集したウイルス1000種類。
（2）と（3）には、世界中だけではなく、国内でのみ出回っているウイルスも含まれる。

ttp://itpro.nikkeibp.co.jp/article/COLUMN/20071215/289572/zu02.jpg

Norton AntiBot
ITpro - 挙動不審なソフトはすべからく御用、ノートン・アンチボット登場　2007/11/28
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071128/288173/
ITmedia +D PC USER - 600万台のPCが“ハイジャック”されている「ノートン・アンチボット」発表会　2007/11/28
ttp://plusd.itmedia.co.jp/pcuser/articles/0711/28/news119.html
ITmedia エンタープライズ - シマンテック、業界初のボット対策専用ソフトを発売　2007/11/28
ttp://www.itmedia.co.jp/enterprise/articles/0711/28/news060.html
INTERNET Watch - シマンテックに聞く 〜新たな脅威である「ボット」に対抗する〜　2007/12/21
ttp://internet.watch.impress.co.jp/cda/special/2007/12/21/17966.html

ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/screenshots/hm-nab_screenshot1_lg.jpg
ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/screenshots/hm-nab_screenshot2_lg.jpg
ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/screenshots/hm-nab_screenshot3_lg.jpg

Anti Rootkit Software, News, Articles and Forums
http://www.antirootkit.com/
Rootkit Detection & Removal Software
http://www.antirootkit.com/software/

回避法

Javascriptを無効にする

ツールキットをルートキットと誤読する　そんな脳こそ脆弱性

>>11
ユーザーの生の声を見れました。


一番いいセキュリティソフトはなんだ!!Part43
http://pc11.2ch.net/test/read.cgi/sec/1201308630/

357：名無しさん＠お腹いっぱい。：2008/02/01(金) 23:16:17
ゲームPCにNOD32を勧めてるのがいるけど、ゲーマーの間だとNOD32は評価低いよ。
オンライン前提だと、NOD32でよくあるネットワーク絡みの相性問題が出たりするし
誤検出でオンラインアップートをぶっ飛ばしてくれたりもする。
なのにNOD32のサポートは動かないし、ユーザーの少ないマイナーなアンチウイルスソフトだからか
ゲームのサポートもNOD32の機能を切るように勧めるぐらいしか対応してくれない……
ゲーマーにはオススメしかねる。

>>10
自演内容から、信者が価格comでも工作活動していることがばれるw


＞NOD32アンチウィルス Part53
＞http://pc11.2ch.net/test/read.cgi/sec/1201517612/
＞
＞204 名前：名無しさん＠お腹いっぱい。　[sage]　投稿日：2008/02/05(火) 04:11:27
＞NOD32を導入しようと思ってこのスレに来てテンプレを読んだら買う気が失せました
＞
＞205 名前：名無しさん＠お腹いっぱい。　[sage]　投稿日：2008/02/05(火) 06:42:19
＞価格コム見れば



【補足情報】2ch外のサイトでも工作を行うNOD信者
・wikiの場合
http://pc11.2ch.net/test/read.cgi/sec/1187681559/101

NODのwikiに誇大なデマを記載し続けたNOD信者
http://pc11.2ch.net/test/read.cgi/sec/1194665582/23

[参考]：Wikipediaの執筆者を暴露するツール「WikiScanner」
ttp://wiredvision.jp/news/200708/2007082821.html

・教えてgoo、およびアダ被サイトの場合
http://pc11.2ch.net/test/read.cgi/sec/1187681559/115

・アマゾンの場合
http://pc11.2ch.net/test/read.cgi/sec/1187681559/132