感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

Similar documents
感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されて

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

SQLインジェクション・ワームに関する現状と推奨する対策案

マルウェアレポート 2018年2月度版

マルウェアレポート 2017年12月度版

マルウェアレポート 2018年1月度版

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

OSI(Open Systems Interconnection)参照モデル

 お詫び

マルウェアレポート 2018年4月度版

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

マルウェアレポート 2018年3月度版

マルウェアレポート 2017年10月度版

1 罠のリンクが含まれるメールによる感染まず 利用者に対して 文中に罠のリンクが含まれるメール ( 罠のメール ) が届きます そのリンク先は 一見 PDF ファイル 2 や動画ファイルに見えるよう細工されています ( 図 1-2) また メールの送信元のメールアドレスは 利用者の知人のものである可

マルウェアレポート 2017年9月度版

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

ご利用になる前に ここでは しんきん電子記録債権システム をご利用になる前に知っておいていただきたいことがらについて説明します 1 ご利用環境と動作条件の確認 2 2 初期設定とは 4 3 ソフトウェアキーボードの使いかた 6

事前準備マニュアル

QMR 会社支給・貸与PC利用管理規程180501

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

侵入挙動の反復性によるボット検知方式

2 ログイン ( パソコン版画面 ) Web サイトのログイン画面が表示されます 通知メールに記載されている ID と仮パスワードを入力して ログイン ボタンをクリックしてください ID パスワードを連続して 5 回間違うと 当 I D はロックアウト ( 一時的に使用不可 ) されるので ご注意く

ACTIVEプロジェクトの取り組み

CubePDF ユーザーズマニュアル

OSI(Open Systems Interconnection)参照モデル

PALNETSC0184_操作編(1-基本)

SOC Report

困ったときにお読みください

レビュー作業 共有レビュー 機能を使用するには Acrobat 8 Professional または Acrobat 8 Standard が必要です Acrobat 8 Professional を使って Adobe PDF に Adobe Reader のユーザにもレビュー担当者として参加を許可

VG シリーズ用ローカルファームアップ / 自動ファームウェア更新設定手順書 VG400aⅡ ローカルファームアップ / 自動ファームウェア更新設定手順書

hTc Z バックアップ手順書 (Ver.1.1)

本マニュアルに記載された内容は 将来予告なしに一部または全体を修正及び変更することがあります なお 本マニュアルにこのような不備がありましても 運用上の影響につきましては責任を負いかねますのでご了承ください 本マニュアルの一部 あるいは全部について 許諾を得ずに無断で転載することを禁じます ( 電子

中小企業向け サイバーセキュリティ対策の極意

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

1. ネットワーク経由でダウンロードする場合の注意事項 ダウンロード作業における確認事項 PC 上にファイアウォールの設定がされている場合は 必ずファイアウォールを無効にしてください また ウイルス検知ソフトウェアが起動している場合は 一旦その機能を無効にしてください プリンターは必ず停止状態 (

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

目次 1. よくあるご質問一覧 回答一覧 改訂履歴 Page- 2

目次 1. ユーザー登録 ( 初期セットアップ ) を行う Office365 の基本的な動作を確認する... 6 Office365 にログインする ( サインイン )... 6 Office365 からサインアウトする ( ログアウト )... 6 パスワードを変更する... 7

ダウンロードページアップデートマニュアル.ppt

スライド 1

スタートメニュー から すべてのアプリ をクリックします すべてのアプリ (Windows アクセサリの中にある場合もあります ) の中から Internet Explorer を探します Internet Explorer をクリックすると Internet Explorer が開きます () I

カルテダウンロード 操作マニュアル

Active! mail 6 操作マニュアル 株式会社トランスウエア Copyright TransWare Co. All rights reserved.

セキュリティソフトウェアをご使用の前に

<4D F736F F D208E96914F8F8094F5837D836A B2E646F63>

スライド 1

本体内のメモリの合計容量と空き容量などを確認できます a ホーム画面で [ 基本フォルダ ] [ 設定 ] [ ストレージ ] マイファイルを利用する 本体に保存されている静止画や動画 音楽や文書などのデータを表示 管理できます a アプリ一覧画面で [ ツール ] [ マイファイル ] カテゴリ一

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

<4D F736F F F696E74202D E9197BF C A F B A834C C A5F C52E B8CDD8AB B83685D>

ESET NOD32アンチウイルス V4.2 リリースノート

捺印ツールを使う 捺印ツールをインストールする 1. [ パソコン決裁 6 試用版捺印ツール ] の [ ダウンロード ] ボタンをクリックします 2. [ 実行 ] ボタンをクリックし [SetupDstmp32.exe] ファイルを実行します ご利用のブラウザまたはバージョンにより画面が異なりま

2 Copyright(C) MISEC

Adobe Reader 署名検証設定手順書

クライアント証明書

大阪ガス株式会社 情報通信部 御中

第 32 回文書ファイルの保存に関する Word の裏技 WORD2013 の裏技 第 32 回文書ファイルの保存に関する Word の裏技 1. 新しく作成した文書に名前を付けて保存する方法 作成した文書をファイルとして保存しておけば 後から何度でも利用できる 文書をはじめて保存する場合は 文書に

■POP3の廃止について

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

Microsoft Word - パソコン定期メンテナンス手順.doc

1. WebShare 編 1.1. ログイン / ログアウト ログイン 1 WebShare の URL にアクセスします xxxxx 部分は会社様によって異なります xxxxx. 2 ログイン名 パスワードを入力し

改訂履歴 版数日付改訂内容項番 ページ等 /03/31 全面改定

新製品 パソコンソフト セキュリティ対策ソフト NewsRelease 報道関係者各位 2004 年 8 月 26 日 ソースネクスト株式会社 二重の安心を提供する新発想のセキュリティ対策ソフト セキュリティアドバイザー 年 9 月 17 日 ( 金 ) 発売 ソースネクスト株式

建築業務管理システム 補足マニュアル Internet Explorer11 設定ガイド (Windows10 用 )

Microsoft Word - gred_security_report_vol17.final

マカフィー R セキュリティサービス (Mac 版 ) インストール 基本操作 アンインストールマニュアル McAfee と McAfee のロゴは 米国およびその他の国における McAfee LLC の商標です 中部ケーブルネットワーク株式会社 第 1.5 版 2018/11/5

改版履歴 版数 改訂日 該当頁 / 該当項目 改訂の要点 /03/31 6 対応 OSの変更に伴う修正 動作環境 の OS に以下を追加 Windows 8.1 Update (64Bit) Windows 8.1 Update Pro (64Bit) 動作環境 の OS から以

RW-4040 導入説明書 Windows 7 用 2017 年 7 月 シャープ株式会社

目次 Webフォルダの特長と仕組み 3 Webフォルダの開き方 4 1 児童生徒の場合 4 2 先生の場合 5 Webフォルダ機能 ファイルのアップロード ( 保存 ) 6 ファイルのダウンロード 7 ファイルの開き方 8 新規フォルダの作成 9 フォルダ ファイルの名称の変更 10 フォルダ ファ

flashplayer確認手順_ xls

目次 1 はじめに 概要 本システムで対象となるユーザ 対象データ 動作環境 ( オフライン審査用 PC) 本書の表記 用語の説明 オフラインビューアの操作...

誓約書の同意 4 初回のみ 下記画面が表示されるので内容を確認後 同意する ボタンをクリック 同意していただけない場合はネット調達システムを使うことができません 参照条件設定 5 案件の絞り込み画面が表示されます 5-1 施工地域を選択して 施工地域選択完了 ボタンをクリック - 2 -

Microsoft Word - JAFZ01)[Office365]OneDrive_for_Business利用手順.docx

1. WebShare(HTML5 版 ) 編 1.1. ログイン / ログアウト ログイン 1 WebShare の URL にアクセスします xxxxx 部分は会社様によって異なります xxxxx 2 ユーザー名 パ

<4D F736F F D C EC08E7B8AC888D591808DEC837D836A B E646F A81698FED E A2E646F63>

SOC Report

本体内のメモリの合計容量と空き容量などを確認できます a ホーム画面で [ 基本フォルダ ] [ 設定 ] [ ストレージ ] マイファイルを利用する 本体に保存されている静止画や動画 音楽や文書などのデータを表示 管理できます a アプリ一覧画面で [Tools] [ マイファイル ] カテゴリ一

ユーザーズマニュアル

事前準備マニュアル

- 2 / 25 - 表示される

Microsoft PowerPoint _VL-CD2xx バージョンアップ手順(汎用版).pptx

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

RW-5100 導入説明書 Windows7 用 2017 年 7 月 シャープ株式会社

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

クライアント証明書

スライド 1

OmniTrust

PowerTyper マイクロコードダウンロード手順

もくじ 目 次 第 はじめに.... 本システムの概要....2 注意事項....3 商標および著作権について... 第 2 本システムのご利用にあたって ご利用時の操作フロー 画面構成 画面各部の説明... 3 操作方法 ご利用

f-secure 2006 インストールガイド

Microsoft Word - IE11 設定手順書 受注者 win 7.doc

個人情報を盗み出す感染したウイルスにより コンピュータ上に保存されている情報 ( データ ) が勝手に送信されたり キーボード入力を盗み見されたりすること等をいいます 最近のネットバンキングの不正送金もこのカテゴリーに含まれます これ以外にも 以下のような被害を受ける可能性があります 盗まれたクレジ

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

アルファメールプラチナ Webメールスマートフォン版マニュアル

home-portal2_mobile_quickguide_user_v1.0

<4D F736F F D CC2906C A90848FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

Microsoft Word - WebMail.docx

2. 次期約確システムの利用端末環境の整備について次期約確システムにつきましては 短資取引約定確認システムの更改に係る操作習熟試験実施について ( 平成 30 年 8 月 16 日付 ) においてご連絡のとおり 本年 11 月中旬以降 利用先の皆様にご参加いただく操作習熟試験を実施することになります

Transcription:

1. PDF-Exploit-m 情報 1.1 PDF-Exploit-m の流行情報 2011 年 9 月に 日本の防衛産業メーカーの 1 社が標的型のサイバー攻撃被害に遭い 複数のサーバやパソコンが本ウイルスに感染する被害が発生したと報じられた ( 被害に遭ったのは同年 8 月 ) 今回解析する PDF-Exploit-m は そのウイルスの亜種と思われる PDF ファイルである この標的型攻撃は 他の国内メーカーに対しても同様の攻撃が仕掛けられたことが判明 また日本だけでなく イスラエル インド 米国の防衛産業の企業に対しても同種の標的型攻撃が行われていることが確認されている 1.2 ウイルス概要 今回解析を行ったウイルスの概要を表 1.2-1 に示す 表 1.2-1: ウイルス概要 NO.2011-01 ウイルス名称 PDF-Exploit-m ウイルス俗称 トレンドマイクロ社 TROJ_PIDIEF.EED (2011 年 8 月 16 日時点 ) マカフィー社 Heuristic.BehavesLike.Expl oit.pdf.codeexec.fflg シマンテック社 Trojan.Gen.2 その他 Exploit.JS.Pdfka.epp( カスペルスキー社 ) 起源 2011 年 9 月 19 日 ( トレンドマイクロ社 ) 発見日 2011 年 9 月 30 日 動作環境 Appilication Adobe Reader and Adobe Acrobat 9 ~ 9.1 より前 のバージョン Adobe Reader and Adobe Acrobat 8 ~ 8.1.3 より 前のバージョン Adobe Reader and Adobe Acrobat 7 ~ 7.1.1 より 1

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat 8.1.1 より前のバージョン Adobe Reader and Acrobat before 8.1.2 より前のバージョン Adobe Flash Player before 10.2.154.27 on Windows Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ 9.4.4 より前のバージョンと 10.x t から 10.0.1 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで感染する 当該ウイルスは複数の脆弱性を利用する 脆弱性番号 (CVE) と その脆弱性が存在するアプリケーションおよびバージョンを以下に列挙する CVE-2009-0927 Adobe Reader and Adobe Acrobat 9 ~ 9.1 より前のバージョン Adobe Reader and Adobe Acrobat 8 ~ 8.1.3 より前のバージョン Adobe Reader and Adobe Acrobat 7 ~ 7.1.1 より前のバージョン CVE-2007-5659(CVE-2008-0655) Adobe Reader and Acrobat before 8.1.2 より前のバージョン CVE-2011-0611 Adobe Flash Player before 10.2.154.27 on Windows Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ 9.4.4 より前のバージョンと 10.x t から 10.0.1 メールに添付された PDF-Exploit-m をユーザが実行することで もしくはメールに記載された PDF-Exploitm をアップロードした URL をユーザがクリックすることで感染したと想定される 標的型攻撃 +ボット PDF-Exploit-m は標的型攻撃を目的とした PDF タイプ 2

のウイルスである 前述の感染条件に合った PC で PDF-Exploit-m を開くと ボット ( 1) に感染する ボットに感染後は インターネットを通じて指示を受け 他のウイルスをダウンロードするなどの感染活動を行う可能性がある 1: ボットについては下記 URL を参照のこと http://www.ipa.go.jp/security/antivirus/bot.html ウイルス評価指標 ( 試行中 ) 次頁に評価指標の説明を記す (1) 感染力 (2) 脆弱性悪用力 (3) 自己隠ぺい力 (4) 破壊力 (5) 影響力 (6) 感染拡大力 3

ウイルス評価指標について (1) 感染力 ( 感染のしやすさ ) 実行形式ファイルで 開かなければ感染しないタイプ ファイルを偽装することでファイルを開かせるタイプ ファイルを開く行為をしなくても感染するタイプ (2) 脆弱性悪用力 ( 感染のしやすさ ) 脆弱性を悪用しない 修正プログラムが公開されている脆弱性を悪用する 修正プログラムが未公開の脆弱性を悪用する (3) 自己隠ぺい力 ( 発見のしにくさ ) 何らかの感染を疑うような症状がある 表立った症状は無いがユーティリティの操作等で感染を確認できる ルートキット等の技術が使われており 感染の確認が困難である (4) 破壊力 ( 修復の難しさ ) PC 等の通常利用にほとんど支障が無い 実害はあるが 復旧は困難ではない システムファイルや PC 等内のデータファイルが破壊され 復旧が困難である (5) 影響力 ( 外部への影響の大きさ ) 感染した PC 等から外部に対して何もしない ネットワーク上の他の PC 等に対して DoS 攻撃や spam メール発信等を行う 感染した PC 等から収集した情報を外部に送信または公開する (6) 感染拡大力 ( 外部への影響の大きさ ) 感染機能なし LAN 内の他の PC 等に感染拡大する インターネット上の他の PC 等に感染拡大する さらに詳しい説明は 下記ファイルをご参照下さい http://www.ipa.go.jp/security/virus/report/virus_evaluation_index.pdf 4

(1) 動作概要 PDF-Exploit-m は PDF タイプのウイルスであり メールに添付された PDF-Exploit-m をユーザが開くことで もしくは PDF-Exploit-m を公開した URL リンクがメール本文に記載してあり それをユーザがクリックすることで感染すると推測される PDF-Exploit-m は 内部に難読化を施した不正な JavaScript や Flash ファイルを組込み 複数の脆弱性 CVE-2009-0927 CVE-2007-5659(CVE-2008-0655) CVE-2011-0611 を利用して ユーザの環境に沿った感染を実現している また 感染後は それぞれ機能の異なる2つの dll ファイル (AdobeARM.dll googlesetup.dll) と googleservice.exe という実行ファイルを作成し エクスプローラ (explorer.exe) および Internet Explorer(iexplorer.exe) に注入する 作成された googleservice.exe が ボットであり インターネット上の特定のサーバの指令を受信する (2) 想定される被害 (PC 内被害 漏洩情報等 ) PDF-Exploit-m 自身が 直接 PC に被害を与える機能を有していない しかしながら PDF-Exploit-m により感染するボットは 外部から PC を操作され ファイルのダウンロードおよび実行機能を有しているため 次の被害が想定される 端末内の情報を外部に送信される ( 情報漏洩 ) ボットがダウンロードした別のウイルスに感染する それにより PC 内被害や情報漏洩等の被害が想定される (3) 事前の回避策事前の回避策は次のような方法が挙げられる PDF-Exploit-m は PDF 内に組込まれた JavaScript を利用して感染を実現する したがって PDF-Exploit-m を開くアプリケーション (Adobe Reader) の JavaScript 機能を OFF( 図 1.2-1 参照 ) にすることで ボットの感染を防ぐことが可能である 常に Adobe Reader 等のソフトウェアを最新にする メールの添付ファイルをむやみに開かない メール本文の URL をむやみに開かない 5

デフォルトでは チェックが ついていますので チェッ クを外します 図 1.2-1 Adobe Reader の [ 編集 ] [ 環境設定 ] 画面 6

(4) 簡易的な感染判断方法 PDF-Exploit-m は次の方法で確認できる (1) ウィンドウが存在しないのに InternetExplorer のプロセス (iexplorer.exe) が存在する (2) 環境変数 %CommonAppData% または環境変数%AppData% の示すフォルダに googlesetup.dll が存在する (3) 環境変数 %CommonStartup% または環境変数%Startup% の示すフォルダに googleservice.exe が存在する (5) 感染した場合の復旧策 PDF-Exploit-m は次に示すファイルの削除を行う事で システムを復旧する事が出来る なお PDF-Exploit-m 本体である PDF ファイルは 実行時に害の無い PDF ファイルに書き換えられているため 削除の必要はない (1) 環境変数 %CommonAppData% または環境変数%AppData% の示すフォルダに存在する googlesetup.dll を削除する (2) 環境変数 %CommonStartup% または環境変数%Startup% の示すフォルダに存在する googleservice.exe を削除する (3) 環境変数 %temp% の示すフォルダに存在する AdobeARM.dll および googlesetup.dll を削除する 7

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック