ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

メッセージ欄

『Adobe Reader』 で検索

   

2009/02/26(木) Flash Player 10.0.22.87 / 9.0.159.0、AIR 1.5.1 が公開されています

マルチOS

Flash Player 10.0.22.87 および AIR 1.5.1 が公開されています。複数の重大な欠陥が修正されています。

Flash Player 10.0.22.87 はダウンロードページから入手できます。また RINS web ページでも配布しています (学内からのみ入手可)。

既存の Flash Player をあらかじめアンインストールしておき、その後 Flash Player 10.0.22.87 をインストールすることを推奨します。アンインストール用のプログラムも用意されています。

Flash CS4 Professional については専用の Flash Player が存在するので注意してください。また Flash CS3 Professional と Flex 3 には Debug 版の Flash Player をインストールしてください。これらの入手先については、Advisory を参照してください。

互換性の問題などにより、どうしても Flash Player 10 系列に移行できない場合は、Flash Player 9.0.159.0 に更新してください。こちらから入手できます。また RINS web ページでも配布しています (学内からのみ入手可)。

AIR 1.5.1 は http://get.adobe.com/jp/air/ から入手してください。

Flash Player はウイルスに狙われやすいプログラムの 1 つです。できるだけ早く、最新版に更新してください。学内において昨今流行している USB メモリーウイルスも、最初の感染は Flash Player や Adobe Reader の欠陥を利用して行われた可能性があります。

なお、使用している Flash Player のバージョンは Macromedia Flash Player のバージョンテスト (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。

関連キーワード: Flash Player

2009/02/22(日) Acrobat / Adobe Reader 全バージョンに重大な欠陥、修正プログラムはまだない

マルチOS

Acrobat / Adobe Reader の全てのバージョンに重大な欠陥が発見されました。修正プログラムは現在開発中であり、まだ存在しません。

この欠陥を利用するウイルスも既に登場しています。

Acrobat / Adobe Reader の設定を変更し、JavaScript を無効とすることで、この欠陥を用いた攻撃を回避できます。たとえば Windows 版 Adobe Reader 9 の場合は、次の手順となります。

  1. Adobe Reader を起動します。
  2. [編集] メニューの [環境設定...] を選択します (画像)。「環境設定」ウインドウが開きます。
  3. 分類から [JavaScript] を選択し、「Acrobat JavaScript を使用」のチェックボックスを外します (画像)
  4. [OK] をクリックします。「環境設定」ウインドウが閉じられます。

他のバージョンについても同様に設定できます。ウイルスによる被害を受ける前に、設定を行っておいてください。

修正プログラムは現在開発中です。

  • Acrobat / Adobe Reader 9 用の修正プログラムは 2009.03.11 (米国時間) にリリースされる予定です。
  • その後、Acrobat / Adobe Reader 8 用の修正プログラムの開発がおこなわれます。
  • さらにその後、Acrobat / Adobe Reader 7 用の修正プログラムの開発がおこなわれます。

Acrobat / Adobe Reader 8 以前を利用している場合は、あらかじめ、最新版である Acrobat / Adobe Reader 9 へアップグレードしておくことを強く推奨します。

関連キーワード: AcrobatAdobe Reader

2009.03.12 追記

Windows および Mac OS X 用の Acrobat / Adobe Reader 9.1 が公開されました。この欠陥が修正されています。Acrobat / Adobe Reader 9 利用者はアップデートしてください。

現時点での、その他のバージョンの更新版の公開予定は次のとおりです。

  • Acrobat / Adobe Reader 7.x / 8.x の更新版は 2009.03.18 に登場予定
  • Adobe Reader 9.1 for Unix は 2009.03.25 に登場予定

その後、JavaScript を無効にしただけではこの欠陥を利用した攻撃を防ぐことはできないことが明らかになっています。どうしても旧版の Acrobat / Adobe Reader を使わなければならない場合は、PDF ファイルの扱い、特に外部から送付された PDF ファイルの扱いには十分に注意してください。

2009.03.23 追記

Windows および Mac OS X 用の Acrobat / Adobe Reader 8.1.4 / 7.1.1 が公開されました。この欠陥が修正されています。Acrobat / Adobe Reader 8.x / 7.x 利用者はアップデートしてください。

2009/01/27(火) 一部の研究室におけるウイルス感染被害について

マルウェア関連

2009.01.27 現在、一部の研究室において Windows PC へのコンピュータウイルスの感染が確認されています。何らかの経路から感染後、USB メモリなどを通じて感染が広がっているようです。現在対応作業中です。

龍大標準のアンチウイルスソフト、マカフィー VirusScan Enterprise (VSE) は、最新のウイルス定義ファイル DAT5507 においても対応できていません (Extra.dat により一部には対応済。後述)。ここで解説されているウイルスと同種のものと考えられます。手元で採取した検体と各種アンチウイルスソフトの検出状況は以下のとおりです。

実際のウイルスのファイル名は上記とは異なる場合があります。

対応手順

現時点では、次の手順で対応を行っています。

  1. ウイルスファイルの存在は隠蔽されていますが、コマンドプロンプト (cmd.exe) から dir /a C:\ や dir /a C:\WINDOWS\system32 などと実行することで確認できます。
  2. ネットワークに接続したままだと、ウイルスがネットワークを経由してアップデートしてしまいます。ネットワークケーブルを抜くなどして、物理的に切断します。
  3. システムの復元を無効に設定します。
  4. ウイルスは、Windows 起動時に自動的に起動されるよう、レジストリ HKCU\Software\Microsoft\Windows\CurrentVersion\Run に自身を登録しています。これを削除します。
    自動起動用のレジストリを削除するには、sysinternalsautoruns コマンドを使用すると容易です。autoruns を起動し、[Logon] タブの HKCU\Software\Microsoft\Windows\CurrentVersion\Run の項に注目します。あやしい項目についてチェックを外します。autoruns コマンドは、RINS で配布している「セキュリティ CD」の tools\sysinternals ディレクトリにも含まれています。
  5. ウイルスをできるだけ削除しておきます。隠蔽されているファイルは、コマンドプロンプトから attrib -S -H -R pytdfse1.dll のように実行すれば隠蔽を解除できます。その後 del コマンドで削除します。削除できない場合は、ren コマンドを ren pytdfse1.dll pytdfse1.dll.hoge のように使ってウイルスファイルの名前を変更します。この段階ではうまく削除できないファイルも少なくないので、あまり神経質にならなくてもよいです。
    典型的なウイルスファイル名を後述しています。
  6. 再起動します。
  7. 削除できていなかったファイルを削除します。削除できるまで、手順 4〜7 を繰り返します。
  8. USB などのメディアからの再感染を避けるため、autorun.inf の無効化設定を行います。autorunstop.bat をダウンロードして実行します。ダウンロード後のファイルの拡張子が .bat になっていることを確認してください。この設定を行うと、メディア挿入時の自動実行機能が働かなくなりますので注意してください。
    なお、よりセキュリティを高めるための設定: 自動再生を無効にする で述べている方法ではうまくいかない場合があるそうで、近日改定を予定しています。
  9. Explorer 関連のレジストリ設定をウイルスが改変しています。修正するために、fix-showall.reg をダブルクリックして適用します。適用後、よりセキュリティを高めるための設定: エクスプローラ を実施します。
  10. マカフィー VSE を利用していた場合、ウイルス感染によって改変され挙動がおかしくなっている場合が多いです。 ウイルス定義ファイルの更新が正常になされていないなどの挙動が見られる場合には、再インストールすることを推奨します。マカフィー VirusScan 関連ドキュメント を参照。
  11. USB などのメディアに付着したウイルスを削除します。上記と同様、コマンドプロンプトから attrib コマンドと del コマンドを使って実施してください。

終ったら、システムの復元とネットワークを元に戻します。

「セキュリティ CD」は RINS の部屋 (瀬田 1 号館 443 室) で配布しています。

典型的なウイルスファイル名を以下に示します。これで全てではないので注意してください。

ドライブルート (C:\ など)a81lkgv.com, em0x.exe, hau1x6q.cmd, n1jttj8f.com, w.com, xj8guf.bat
C:\WINDOWS\system32afmain0.dll, afmain1.dll, haozs0.dll, haozs1.dll, ierdfgh.exe, mmvo.exe, mmvo0.dll, mmvo1.dll, pytdfse0.dll, pytdfse1.dll, revo.exe, revo0.dll, revo1.dll

VSE で この Extra.dat を使うと、上記ウイルスのうち a81lkgv.com と ierdfgh.exe を検出できるようになります。Extra.dat の利用方法については以下を参照してください。

上記リンクに記載された方法がよくわからない場合は、次のようにしてください。

  1. Extra.dat をコピーします。
    • C:\Program Files\Common Files\McAfee\Engine に (VSE 8.7i / 8.5i)
    • C:\Program Files\Common Files\Network Associates\Engine に (VSE 8.0i)
  2. 再起動します。

全般的な対応・予防

Windows で「アンチウイルスソフトをインストールしていない」は論外です。何らかのアンチウイルスソフトをインストールしてください。VSE の場合は、8.5i または 8.7i の利用を推奨します。ただし、今回の事例でもわかるように、アンチウイルスソフトをインストールしておけば安心、というわけではありません。

autorunstop.bat を実行し、autorun.inf を無効化することを推奨します。

RINS で配布している「セキュリティ CD」にも含まれている StartupMonitor のようなツールをインストールしておき、起動項目の追加・変更を確認するのは効果的です。

Windows やアプリケーションのセキュリティ上の欠陥を突いて侵入するウイルスも存在します。セキュリティ修正プログラムを適用したり、最新版に更新したりして、セキュリティ上の欠陥を無くしてください。具体的には以下を実行してください。

  • Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。
  • アプリケーションを最新版に更新してください。特に狙われやすいのは:

関連キーワード: VirusScan

2009.01.28 追記

最新のウイルス定義ファイル DAT5508 において、上記検体のうち a81lkgv.comierdfgh.exe には対応されました。また、この Extra.dat を使うと pytdfse0.dllpytdfse1.dll にも対応されます。

  • DAT5508 へ更新されていることを確認してください。更新されていない場合は、タスクトレイのシールドアイコンを右クリックして「今すぐアップデート」を選択してください。
  • この Extra.dat を適用してください。適用方法については上記を参照してください。

ウイルスに感染した Windows PC を調査したところ、以下の特徴がありました。

  • ウイルス定義ファイルのバージョンが古い。また、アップデートを実行しても、アップデートに成功したような表示がされるものの、ウイルス定義ファイルのバージョンが古いまま。(ウイルスによって、定義ファイル更新機構を破壊されている)
  • Windows のセキュリティ修正ファイルが全く適用されておらず、セキュリティ欠陥を突くような攻撃に対して全く脆弱。

アンチウイルスソフトにおいて、ウイルス定義ファイルが正常に更新されていることを確認してください。また、毎月第 2 火曜日 (米国時間) には Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。

2009.01.29 追記

最新のウイルス定義ファイル DAT5509 において、上記の全ての検体に対応されました。Extra.dat はもう必要ありません。

2009.02.04 追記

一連の作業の中で収集した検体の中に、VSE では検出できないものがいくつかありましたが、最新のウイルス定義ファイル DAT5515 において対応されました。

典型的なウイルスファイル名を追記しました。

autorunstop.bat はローカルに配布するよう、リンク先を変更しました。(Luca さん多謝)

2008/11/09(日) Adobe Reader 8.x / Acrobat 8.x に複数の欠陥

マルチOS

Adobe Reader 8.x / Acrobat 8.x に複数の欠陥が発見されました。

この欠陥は Adobe Reader 8.1.3 / Acrobat 8.1.3 で修正されています。

またこの欠陥は、最新版である Adobe Reader 9 / Acrobat 9 には存在しません。可能であれば、最新版にアップグレードすることを推奨します。

この欠陥を利用する攻略 PDF ファイルも既に登場しています。

欠陥が残る Adobe Reader / Acrobat を使って攻略 PDF ファイルを開くと、ウイルスに感染するなどの被害が発生します。早急なアップデート / アップグレードをお願いします。

関連キーワード: Acrobat, Adobe Reader

2008/06/30(月) Acrobat / Adobe Reader 7.x / 8.x に欠陥

マルチOS

Adobe の Acrobat / Adobe Reader 7.x / 8.x に欠陥が発見されました。Adobe からの情報によると、この欠陥を利用するマルウェアも既に存在しています。

この欠陥への対応方法は以下のとおりです。

Acrobat / Adobe Reader 8.x

Acrobat / Adobe Reader 8.1.2 にアップデートした上で、Security Update 1 を適用します。Acrobat / Adobe Reader 自身のアップデート機能を利用するのがよいでしょう。個別にダウンロードする場合は、次のリンクを参照してください。

なお、Security Update 1 を適用しても、Acrobat / Adobe Reader のバージョン番号表示は変化しないので注意してください。

Acrobat / Adobe Reader 7.x

Acrobat / Adobe Reader 7.1.0 に更新してください。Acrobat / Adobe Reader 自身のアップデート機能を利用するのがよいでしょう。個別にダウンロードする場合は、次のリンクを参照してください。

2008.07.07 追記

この欠陥は、最新バージョンである Acrobat / Adobe Reader 9 には存在しません。よって、最新バージョンへのアップグレードによっても対応できます。

関連キーワード: Acrobat, Adobe Reader

   
adiary Version 2.28c.
Information
  • 数あるセキュリティ欠陥情報の中でも、一般ユーザによる龍大でのコンピュータ運用に際して特に重大だと考えられるものについて記述します。緊急のウイルス関連情報についてもここに記述します。
  • 記事一覧
  • 印刷用の表示
  • 画像アルバム
カレンダー
<< 2025/04 >>
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
カテゴリ一覧
管理メニュー
System info
Apache : prefork
Runtime : cgi perl
RDBMS : pseudo DB