特に重要なセキュリティ欠陥・ウイルス情報

Windows Vista SP2 / Server 2008 SP2 が公開されています。

• 「Windows Vista SP2」が公開 (Internet Watch)

また、Windows 7 も RC 版が公開されています。

• Windows 7 にようこそ (Microsoft)

龍谷大学では、標準のアンチウイルスソフトとしてマカフィー VirusScan を使用していますが、Windows Vista SP2 / Server 2008 SP2 および Windows 7 に対しては VirusScan Enterprise 8.7i を使用してください。ただし「バッファオーバーフロー保護」は無効に設定してください。

関連キーワード: VirusScan

2009.09.18 追記

Windows Vista SP2 / Server 2008 SP2 に対しては、VirusScan Enterprise 8.7i patch 1 での対応が確認されています。上記に基づいて「バッファオーバーフロー保護」を無効に設定した方は、VirusScan Enterprise 8.7i patch 1 をインストールし、「バッファオーバーフロー保護」を有効に設定して下さい。

Windows Server 2008 Release 2 に対しては、2009.09.29 にリリースされる予定の VirusScan Enterprise 8.7i patch 2 で対応します。

Windows 7 に対しては、2009.09.29 にリリースされる予定の VirusScan Enterprise 8.7i patch 2 で完全に対応します。VirusScan Enterprise 8.7i patch 1 も利用できますが、その場合、「バッファオーバーフロー保護」は無効に設定してください。

参照: KB51111

VirusScan Enterprise 8.0i 以前や VirusScan for Mac 8.5 以前で採用されているウイルス定義ファイル (V1 DAT) が更新されるのは今年いっぱいで、来年以降は更新されないことが発表されました。

• V1 DAT（Names.dat、Scan.dat、Clean.dat）の提供終了について (マカフィー)

VirusScan Enterprise 8.0i のサポートは今年いっぱい (2009.12.31) で終了しますが、終了直後から、データが更新されないことになります。

VirusScan Enterprise 8.0i 以前や VirusScan for Mac 8.5 以前を利用している方は、今年中に、VirusScan Enterprise 8.5i 以降や VirusScan for Mac 8.6 以降に更新してください。

• マカフィー VirusScan 関連ドキュメント (学内からのみ閲覧可)
• マカフィー VirusScan for Mac (Virex) 関連ドキュメント (学内からのみ閲覧可)

関連キーワード: VirusScan

マカフィー VirusScan Enterprise (VSE) をインストール後、Windows Update や自動更新がひどく遅くなったり、エラー 0xC80001FE を表示して停止したりすることがあります。

このような場合、VSE のオンアクセススキャンにおいて %windir%\SoftwareDistribution 以下を除外設定すると、状況が改善する場合があります。性能の低い PC や負荷が高い PC においては特に効果があります。

詳細については、マカフィー VirusScan Enterprise で %windir%\SoftwareDistribution を除外設定する方法 を参照してください。(学内からのみ閲覧可)

関連キーワード: VirusScan

龍大標準のアンチウイルスソフト VirusScan Enterprise の前バージョン 8.5i の最新 patch である patch 8 が登場しています。

• VirusScan Enterprise 8.7i / 8.5i / 8.0i が対応している OS について (学内からのみ閲覧可)
• VirusScan Enterprise 8.5i patch インストール方法 (学内からのみ閲覧可)

VirusScan Enterprise 8.5i を利用している場合は、patch 8 を適用してください。

なお、前々バージョンである VirusScan Enterprise 8.0i は今年末 (2009.12.31) にサポートが終了します。8.0i 利用者は、今年中に 8.7i あるいは 8.5i にアップグレードしてください。

関連キーワード: VirusScan

2009.01.27 現在、一部の研究室において Windows PC へのコンピュータウイルスの感染が確認されています。何らかの経路から感染後、USB メモリなどを通じて感染が広がっているようです。現在対応作業中です。

龍大標準のアンチウイルスソフト、マカフィー VirusScan Enterprise (VSE) は、最新のウイルス定義ファイル DAT5507 においても対応できていません (Extra.dat により一部には対応済。後述)。ここで解説されているウイルスと同種のものと考えられます。手元で採取した検体と各種アンチウイルスソフトの検出状況は以下のとおりです。

• a81lkgv.com
• autorun.inf
• ierdfgh.exe
• pytdfse0.dll
• pytdfse1.dll

実際のウイルスのファイル名は上記とは異なる場合があります。

対応手順

現時点では、次の手順で対応を行っています。

1. ウイルスファイルの存在は隠蔽されていますが、コマンドプロンプト (cmd.exe) から dir /a C:\ や dir /a C:\WINDOWS\system32 などと実行することで確認できます。
2. ネットワークに接続したままだと、ウイルスがネットワークを経由してアップデートしてしまいます。ネットワークケーブルを抜くなどして、物理的に切断します。
3. システムの復元を無効に設定します。
4. ウイルスは、Windows 起動時に自動的に起動されるよう、レジストリ HKCU\Software\Microsoft\Windows\CurrentVersion\Run に自身を登録しています。これを削除します。
   自動起動用のレジストリを削除するには、sysinternals の autoruns コマンドを使用すると容易です。autoruns を起動し、[Logon] タブの HKCU\Software\Microsoft\Windows\CurrentVersion\Run の項に注目します。あやしい項目についてチェックを外します。autoruns コマンドは、RINS で配布している「セキュリティ CD」の tools\sysinternals ディレクトリにも含まれています。
5. ウイルスをできるだけ削除しておきます。隠蔽されているファイルは、コマンドプロンプトから attrib -S -H -R pytdfse1.dll のように実行すれば隠蔽を解除できます。その後 del コマンドで削除します。削除できない場合は、ren コマンドを ren pytdfse1.dll pytdfse1.dll.hoge のように使ってウイルスファイルの名前を変更します。この段階ではうまく削除できないファイルも少なくないので、あまり神経質にならなくてもよいです。
   典型的なウイルスファイル名を後述しています。
6. 再起動します。
7. 削除できていなかったファイルを削除します。削除できるまで、手順 4〜7 を繰り返します。
8. USB などのメディアからの再感染を避けるため、autorun.inf の無効化設定を行います。autorunstop.bat をダウンロードして実行します。ダウンロード後のファイルの拡張子が .bat になっていることを確認してください。この設定を行うと、メディア挿入時の自動実行機能が働かなくなりますので注意してください。
   なお、よりセキュリティを高めるための設定: 自動再生を無効にする で述べている方法ではうまくいかない場合があるそうで、近日改定を予定しています。
9. Explorer 関連のレジストリ設定をウイルスが改変しています。修正するために、fix-showall.reg をダブルクリックして適用します。適用後、よりセキュリティを高めるための設定: エクスプローラ を実施します。
10. マカフィー VSE を利用していた場合、ウイルス感染によって改変され挙動がおかしくなっている場合が多いです。 ウイルス定義ファイルの更新が正常になされていないなどの挙動が見られる場合には、再インストールすることを推奨します。マカフィー VirusScan 関連ドキュメント を参照。
11. USB などのメディアに付着したウイルスを削除します。上記と同様、コマンドプロンプトから attrib コマンドと del コマンドを使って実施してください。

終ったら、システムの復元とネットワークを元に戻します。

「セキュリティ CD」は RINS の部屋 (瀬田 1 号館 443 室) で配布しています。

典型的なウイルスファイル名を以下に示します。これで全てではないので注意してください。

VSE で この Extra.dat を使うと、上記ウイルスのうち a81lkgv.com と ierdfgh.exe を検出できるようになります。Extra.dat の利用方法については以下を参照してください。

• VirusScan Enterprise 8.5 のExtra.dat ファイルの手動適用方法 (マカフィー)。VSE 8.7i の場合も同様に実施してください。
• VirusScan Enterprise 7.x / 8.0 のExtra.dat ファイルの手動適用方法 (マカフィー)

上記リンクに記載された方法がよくわからない場合は、次のようにしてください。

1. Extra.dat をコピーします。
   • C:\Program Files\Common Files\McAfee\Engine に (VSE 8.7i / 8.5i)
   • C:\Program Files\Common Files\Network Associates\Engine に (VSE 8.0i)
2. 再起動します。

全般的な対応・予防

Windows で「アンチウイルスソフトをインストールしていない」は論外です。何らかのアンチウイルスソフトをインストールしてください。VSE の場合は、8.5i または 8.7i の利用を推奨します。ただし、今回の事例でもわかるように、アンチウイルスソフトをインストールしておけば安心、というわけではありません。

autorunstop.bat を実行し、autorun.inf を無効化することを推奨します。

RINS で配布している「セキュリティ CD」にも含まれている StartupMonitor のようなツールをインストールしておき、起動項目の追加・変更を確認するのは効果的です。

Windows やアプリケーションのセキュリティ上の欠陥を突いて侵入するウイルスも存在します。セキュリティ修正プログラムを適用したり、最新版に更新したりして、セキュリティ上の欠陥を無くしてください。具体的には以下を実行してください。

• Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。
• アプリケーションを最新版に更新してください。特に狙われやすいのは：
  • Microsoft Office (最新: Office 2007)。Office Update または Microsfot Update を使ってセキュリティ修正プログラムを適用できます。
  • Adobe Reader / Adobe Acrobat (最新: バージョン 9)
  • Flash Player (最新: バージョン 10)
  • QuickTime (最新: バージョン 7.6)

関連キーワード: VirusScan

2009.01.28 追記

最新のウイルス定義ファイル DAT5508 において、上記検体のうち a81lkgv.com と ierdfgh.exe には対応されました。また、この Extra.dat を使うと pytdfse0.dllと pytdfse1.dll にも対応されます。

• DAT5508 へ更新されていることを確認してください。更新されていない場合は、タスクトレイのシールドアイコンを右クリックして「今すぐアップデート」を選択してください。
• この Extra.dat を適用してください。適用方法については上記を参照してください。

ウイルスに感染した Windows PC を調査したところ、以下の特徴がありました。

• ウイルス定義ファイルのバージョンが古い。また、アップデートを実行しても、アップデートに成功したような表示がされるものの、ウイルス定義ファイルのバージョンが古いまま。(ウイルスによって、定義ファイル更新機構を破壊されている)
• Windows のセキュリティ修正ファイルが全く適用されておらず、セキュリティ欠陥を突くような攻撃に対して全く脆弱。

アンチウイルスソフトにおいて、ウイルス定義ファイルが正常に更新されていることを確認してください。また、毎月第 2 火曜日 (米国時間) には Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。

2009.01.29 追記

最新のウイルス定義ファイル DAT5509 において、上記の全ての検体に対応されました。Extra.dat はもう必要ありません。

2009.02.04 追記

一連の作業の中で収集した検体の中に、VSE では検出できないものがいくつかありましたが、最新のウイルス定義ファイル DAT5515 において対応されました。

典型的なウイルスファイル名を追記しました。

autorunstop.bat はローカルに配布するよう、リンク先を変更しました。(Luca さん多謝)