特に重要なセキュリティ欠陥・ウイルス情報

【注意: 2009.12.06 現在の状況に基づいて記述しています】

近年、Web 検索結果にウイルス配布サイトへのリンクが含まれる事例が増えています。最近、龍谷大学関連の検索結果に、ウイルスの一種である「にせアンチウイルスソフト」へのリンクが含まれている事例を発見しましたのでおしらせします。

ここでは、数理情報学科・高橋先生のホームページに接続したいとします。

Google で「takataka 龍谷大学」を検索すると、先頭に高橋先生のホームページが表示されます。

しかし Yaoo! JAPAN 検索の場合は、必ずしもそうではありません。

そこで Yaoo! JAPAN 検索の結果をスクロールしていくと、こんなものが出てきます。

表示されているドメイン名をよく見れば変だとわかるのですが、誤ってこのリンクをたどると、にせアンチウイルスソフトの配布サイトにつながります。

• 実行してみた例 (YouTube)

一見ウイルス検索が行われているように見えますが、ここで表示されているのは、Web ブラウザ上のアニメーション画像に過ぎません。そして、最終的にダウンロードさせているファイルは、アンチウイルスソフトではなくウイルスです。この例で使用している Web ブラウザは Firefox であるためダウンロードしかできませんが、Internet Explorer では [実行] という選択肢が存在するため、危険です。[実行] させようとして、何度も何度もダイアログが表示されます。Web ブラウザを閉じようとしても簡単には閉じられないようになっています。

正当なアンチウイルスソフトをインストール済であったとしても、全てのアンチウイルスソフトが、ダウンロードされたファイルをウイルスと判断してくれるわけではありません。

• ダウンロードされたファイルを VirusTotal.com で検査 (YouTube)
• VirusTotal.com 検査結果 (VirusTotal.com)

アンチウイルスソフトを過信するのは危険です。アンチウイルスソフトが正常に更新されていない場合は、なおさらです。

Web 検索結果にウイルス配布サイトへのリンクが含まれる事例は、今後も増加すると思われます。利用者自身による注意深い行動が望まれます。

なお、このようなリンクを避ける手法としては、たとえば、「takataka 龍谷大学」ではなく「takataka site:ryukoku.ac.jp」で検索することが考えられます。また、このような Web ページに遭遇してしまった場合には、CTRL + SHIFT + ESC でタスクマネージャを表示させ、Web ブラウザを強制終了させることで確実に離脱できます。

新型インフルエンザが世界的に広まりつつある昨今ですが、これに便乗してコンピュータウイルス（マルウェア）を配布しようとする動きも広まっています。日本も例外ではなく、既に国立感染症研究所を騙る事例が報告されています。

• Malicious Code Authors Jump on the Swine Flu Bandwagon (Symantec)
• 「国立感染症研究所」を詐称したブタインフルエンザ関連メールにご注意ください (国立感染症研究所)
• サイバー空間における豚インフルエンザ騒動の影響 (トレンドマイクロ)

このような事例は今後も続くと考えられます。以下の対策を怠らないようにしてください。

• アンチウイルスソフトウェアをインストールし、ウイルス定義ファイルが最新のものになっているかどうかを確認してください。ウイルス定義ファイルが一週間以上前のまま、といった状態の場合は、既にウイルスに感染している可能性が高いです。龍大標準のアンチウイルスソフトウェア VirusScan の場合、最新のウイルス定義ファイルは「DAT バージョン 5601.0000」です。
• Windows Update や自動更新などを利用し、Windows を最新のセキュリティ状態に保ってください。Internet Exlorer のプロキシだけでなく、WinHTTP のプロキシ も設定しないと、Windows Update や自動更新などを正常に利用できないので注意してください。
• アプリケーションソフトウェアについても更新し、最新のセキュリティ状態を保ってください。特に狙われやすいのは、次のアプリケーションです：
  • Microsoft Office (最新: Office 2007)。Office Update または Microsoft Update を使ってセキュリティ修正プログラムを適用できます。現在サポートされているのは Office 2000 以降だけです。
  • Adobe Reader / Adobe Acrobat (最新: バージョン 9)。現在サポートされているのは Adobe Reader / Acrobat 7.x 以降だけです。Adobe Reader については、原則として最新版をご利用ください。
  • Flash Player (最新: バージョン 10)。現在サポートされているのは Flash Player 9.x 以降だけです。使用している Flash Player のバージョンは、Adobe Flash Player のバージョンテスト で確認できます。原則として最新版をご利用ください。
  • QuickTime (最新: バージョン 7.6)。現在サポートされているのは最新版のみです。最新版をご利用ください。

特に Acrobat / Adobe Reader、Flash Player、QuickTime に関して、古いバージョンを使い続けている事例が散見されます。この数か月における理工学部内のウイルス感染事例においても、これらのアプリケーションはことごとく古いままでした。古いバージョンのアプリケーションに存在するセキュリティ欠陥を突いてウイルスを設置される事例もあったのではないかと思われます。アプリケーションソフトウェアについても忘れずに更新してください。

アンチウイルスソフトウェアをインストールしてしないのは論外ですが、ウイルス定義ファイルが最新のものになっているかどうかを確認していない事例も散見されます。ウイルス定義ファイルが古いままであることに気づかずに使い続け、ウイルスの感染が研究室中に広がった事例もありました。ご注意ください。

2009.01.27 現在、一部の研究室において Windows PC へのコンピュータウイルスの感染が確認されています。何らかの経路から感染後、USB メモリなどを通じて感染が広がっているようです。現在対応作業中です。

龍大標準のアンチウイルスソフト、マカフィー VirusScan Enterprise (VSE) は、最新のウイルス定義ファイル DAT5507 においても対応できていません (Extra.dat により一部には対応済。後述)。ここで解説されているウイルスと同種のものと考えられます。手元で採取した検体と各種アンチウイルスソフトの検出状況は以下のとおりです。

• a81lkgv.com
• autorun.inf
• ierdfgh.exe
• pytdfse0.dll
• pytdfse1.dll

実際のウイルスのファイル名は上記とは異なる場合があります。

対応手順

現時点では、次の手順で対応を行っています。

1. ウイルスファイルの存在は隠蔽されていますが、コマンドプロンプト (cmd.exe) から dir /a C:\ や dir /a C:\WINDOWS\system32 などと実行することで確認できます。
2. ネットワークに接続したままだと、ウイルスがネットワークを経由してアップデートしてしまいます。ネットワークケーブルを抜くなどして、物理的に切断します。
3. システムの復元を無効に設定します。
4. ウイルスは、Windows 起動時に自動的に起動されるよう、レジストリ HKCU\Software\Microsoft\Windows\CurrentVersion\Run に自身を登録しています。これを削除します。
   自動起動用のレジストリを削除するには、sysinternals の autoruns コマンドを使用すると容易です。autoruns を起動し、[Logon] タブの HKCU\Software\Microsoft\Windows\CurrentVersion\Run の項に注目します。あやしい項目についてチェックを外します。autoruns コマンドは、RINS で配布している「セキュリティ CD」の tools\sysinternals ディレクトリにも含まれています。
5. ウイルスをできるだけ削除しておきます。隠蔽されているファイルは、コマンドプロンプトから attrib -S -H -R pytdfse1.dll のように実行すれば隠蔽を解除できます。その後 del コマンドで削除します。削除できない場合は、ren コマンドを ren pytdfse1.dll pytdfse1.dll.hoge のように使ってウイルスファイルの名前を変更します。この段階ではうまく削除できないファイルも少なくないので、あまり神経質にならなくてもよいです。
   典型的なウイルスファイル名を後述しています。
6. 再起動します。
7. 削除できていなかったファイルを削除します。削除できるまで、手順 4〜7 を繰り返します。
8. USB などのメディアからの再感染を避けるため、autorun.inf の無効化設定を行います。autorunstop.bat をダウンロードして実行します。ダウンロード後のファイルの拡張子が .bat になっていることを確認してください。この設定を行うと、メディア挿入時の自動実行機能が働かなくなりますので注意してください。
   なお、よりセキュリティを高めるための設定: 自動再生を無効にする で述べている方法ではうまくいかない場合があるそうで、近日改定を予定しています。
9. Explorer 関連のレジストリ設定をウイルスが改変しています。修正するために、fix-showall.reg をダブルクリックして適用します。適用後、よりセキュリティを高めるための設定: エクスプローラ を実施します。
10. マカフィー VSE を利用していた場合、ウイルス感染によって改変され挙動がおかしくなっている場合が多いです。 ウイルス定義ファイルの更新が正常になされていないなどの挙動が見られる場合には、再インストールすることを推奨します。マカフィー VirusScan 関連ドキュメント を参照。
11. USB などのメディアに付着したウイルスを削除します。上記と同様、コマンドプロンプトから attrib コマンドと del コマンドを使って実施してください。

終ったら、システムの復元とネットワークを元に戻します。

「セキュリティ CD」は RINS の部屋 (瀬田 1 号館 443 室) で配布しています。

典型的なウイルスファイル名を以下に示します。これで全てではないので注意してください。

VSE で この Extra.dat を使うと、上記ウイルスのうち a81lkgv.com と ierdfgh.exe を検出できるようになります。Extra.dat の利用方法については以下を参照してください。

• VirusScan Enterprise 8.5 のExtra.dat ファイルの手動適用方法 (マカフィー)。VSE 8.7i の場合も同様に実施してください。
• VirusScan Enterprise 7.x / 8.0 のExtra.dat ファイルの手動適用方法 (マカフィー)

上記リンクに記載された方法がよくわからない場合は、次のようにしてください。

1. Extra.dat をコピーします。
   • C:\Program Files\Common Files\McAfee\Engine に (VSE 8.7i / 8.5i)
   • C:\Program Files\Common Files\Network Associates\Engine に (VSE 8.0i)
2. 再起動します。

全般的な対応・予防

Windows で「アンチウイルスソフトをインストールしていない」は論外です。何らかのアンチウイルスソフトをインストールしてください。VSE の場合は、8.5i または 8.7i の利用を推奨します。ただし、今回の事例でもわかるように、アンチウイルスソフトをインストールしておけば安心、というわけではありません。

autorunstop.bat を実行し、autorun.inf を無効化することを推奨します。

RINS で配布している「セキュリティ CD」にも含まれている StartupMonitor のようなツールをインストールしておき、起動項目の追加・変更を確認するのは効果的です。

Windows やアプリケーションのセキュリティ上の欠陥を突いて侵入するウイルスも存在します。セキュリティ修正プログラムを適用したり、最新版に更新したりして、セキュリティ上の欠陥を無くしてください。具体的には以下を実行してください。

• Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。
• アプリケーションを最新版に更新してください。特に狙われやすいのは：
  • Microsoft Office (最新: Office 2007)。Office Update または Microsfot Update を使ってセキュリティ修正プログラムを適用できます。
  • Adobe Reader / Adobe Acrobat (最新: バージョン 9)
  • Flash Player (最新: バージョン 10)
  • QuickTime (最新: バージョン 7.6)

関連キーワード: VirusScan

2009.01.28 追記

最新のウイルス定義ファイル DAT5508 において、上記検体のうち a81lkgv.com と ierdfgh.exe には対応されました。また、この Extra.dat を使うと pytdfse0.dllと pytdfse1.dll にも対応されます。

• DAT5508 へ更新されていることを確認してください。更新されていない場合は、タスクトレイのシールドアイコンを右クリックして「今すぐアップデート」を選択してください。
• この Extra.dat を適用してください。適用方法については上記を参照してください。

ウイルスに感染した Windows PC を調査したところ、以下の特徴がありました。

• ウイルス定義ファイルのバージョンが古い。また、アップデートを実行しても、アップデートに成功したような表示がされるものの、ウイルス定義ファイルのバージョンが古いまま。(ウイルスによって、定義ファイル更新機構を破壊されている)
• Windows のセキュリティ修正ファイルが全く適用されておらず、セキュリティ欠陥を突くような攻撃に対して全く脆弱。

アンチウイルスソフトにおいて、ウイルス定義ファイルが正常に更新されていることを確認してください。また、毎月第 2 火曜日 (米国時間) には Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。

2009.01.29 追記

最新のウイルス定義ファイル DAT5509 において、上記の全ての検体に対応されました。Extra.dat はもう必要ありません。

2009.02.04 追記

一連の作業の中で収集した検体の中に、VSE では検出できないものがいくつかありましたが、最新のウイルス定義ファイル DAT5515 において対応されました。

典型的なウイルスファイル名を追記しました。

autorunstop.bat はローカルに配布するよう、リンク先を変更しました。(Luca さん多謝)

龍大標準のアンチウイルスソフト VirusScan を DAT5409 と共に使用すると、誤検出が発生します。Windows Vista に付属する conime.exe を PWS-LegMir であると誤検出します。

• PWS-LegMir (マカフィー)

この欠陥は DAT5410 以降で修正されています。DAT5410 以降に更新してください。タスクトレイの盾アイコンを右クリックして [今すぐアップデート] を実行すると、最新の DAT に更新されます。(2008.10.22 11:30 現在の最新 DAT は DAT5411 です)

関連キーワード: VirusScan

最近、政府組織を騙るコンピュータウイルスが複数種類流通しているようです。龍大においても、防衛省を騙るものの到来を確認しています。

• 日本政府をかたる偽メール、日本企業がターゲット (ITmedia)

龍大で確認できたウイルスは、4月15日16時30分現在、龍大標準のアンチウイルスソフトであるマカフィー VirusScan ではまだ対応できていません。対応するには、Extra.dat ファイルを個別にインストールする必要があります。

• Extra.dat
• Extra.Datファイルのインストール方法 (マカフィー)。注意: VirusScan Enterprise 8.5i と VirusScan Enterprise 8.0i 以前とでは方法が異なります。

これに限らず、From: アドレスを詐称したウイルスメールや spam メールは数多く存在します。怪しいかも? と思ったら、次の事項を確認してみて下さい。

• メールヘッダの Received: 行を確認してみる。上記の防衛省を騙ったメールでは、防衛省 (mod.go.jp) からメールを送った事になっているにも関わらず、Received: 行には IP アドレス 84.18.200.200 から送られた事が記録されていました。84.18.200.200 は英国のとあるプロバイダに与えられたものであるため、防衛省からのメールが送られるのは不自然です。IP アドレスの所属調査には geektools Whois proxy などを利用できます。
• 添付ファイルがあれば VirusTotal で確認してみる。このサイトでは、32 種類ものアンチウイルスソフトウェアを使ったウイルス検査を無料で実施できます。上記の防衛省を騙ったメールの添付ファイルを検査したところ、このような結果が表示されたため、ウイルスである可能性が極めて高いと判断できました。

以上、くれぐれもご注意下さい。

2008.04.21追記

当該ウイルスファイルは DAT5277 において BackDoor-DKI.gen として検出されることを確認しました。