感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

Similar documents
感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されて

マルウェアレポート 2018年2月度版

マルウェアレポート 2018年1月度版

SQLインジェクション・ワームに関する現状と推奨する対策案

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

マルウェアレポート 2017年12月度版

マルウェアレポート 2017年10月度版

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

マルウェアレポート 2018年3月度版

 お詫び

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

マルウェアレポート 2018年4月度版

OSI(Open Systems Interconnection)参照モデル

マルウェアレポート 2017年9月度版

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

1 罠のリンクが含まれるメールによる感染まず 利用者に対して 文中に罠のリンクが含まれるメール ( 罠のメール ) が届きます そのリンク先は 一見 PDF ファイル 2 や動画ファイルに見えるよう細工されています ( 図 1-2) また メールの送信元のメールアドレスは 利用者の知人のものである可

事前準備マニュアル

QMR 会社支給・貸与PC利用管理規程180501

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

ACTIVEプロジェクトの取り組み

侵入挙動の反復性によるボット検知方式

CubePDF ユーザーズマニュアル

ポリシー保護PDF閲覧に関するFAQ

SOC Report

第 32 回文書ファイルの保存に関する Word の裏技 WORD2013 の裏技 第 32 回文書ファイルの保存に関する Word の裏技 1. 新しく作成した文書に名前を付けて保存する方法 作成した文書をファイルとして保存しておけば 後から何度でも利用できる 文書をはじめて保存する場合は 文書に

2 ログイン ( パソコン版画面 ) Web サイトのログイン画面が表示されます 通知メールに記載されている ID と仮パスワードを入力して ログイン ボタンをクリックしてください ID パスワードを連続して 5 回間違うと 当 I D はロックアウト ( 一時的に使用不可 ) されるので ご注意く

OSI(Open Systems Interconnection)参照モデル

■POP3の廃止について

レビュー作業 共有レビュー 機能を使用するには Acrobat 8 Professional または Acrobat 8 Standard が必要です Acrobat 8 Professional を使って Adobe PDF に Adobe Reader のユーザにもレビュー担当者として参加を許可

PALNETSC0184_操作編(1-基本)

インターネット132 インターネットに接続する パケット通信または無線 LAN(Wi-Fi ) 機能を使用してインターネットに接続できます LTE NET または LTE NET for DATA に加入していない場合は パケット通信を利用することができません パケット通信を利用する 本製品は LT

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

1. WebShare 編 1.1. ログイン / ログアウト ログイン 1 WebShare の URL にアクセスします xxxxx 部分は会社様によって異なります xxxxx. 2 ログイン名 パスワードを入力し

スタートメニュー から すべてのアプリ をクリックします すべてのアプリ (Windows アクセサリの中にある場合もあります ) の中から Internet Explorer を探します Internet Explorer をクリックすると Internet Explorer が開きます () I

f-secure 2006 インストールガイド

PowerPoint プレゼンテーション

flashplayer確認手順_ xls

マカフィー R セキュリティサービス (Mac 版 ) インストール 基本操作 アンインストールマニュアル McAfee と McAfee のロゴは 米国およびその他の国における McAfee LLC の商標です 中部ケーブルネットワーク株式会社 第 1.5 版 2018/11/5

ご利用になる前に ここでは しんきん電子記録債権システム をご利用になる前に知っておいていただきたいことがらについて説明します 1 ご利用環境と動作条件の確認 2 2 初期設定とは 4 3 ソフトウェアキーボードの使いかた 6

PowerPoint プレゼンテーション

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

本マニュアルに記載された内容は 将来予告なしに一部または全体を修正及び変更することがあります なお 本マニュアルにこのような不備がありましても 運用上の影響につきましては責任を負いかねますのでご了承ください 本マニュアルの一部 あるいは全部について 許諾を得ずに無断で転載することを禁じます ( 電子

捺印ツールを使う 捺印ツールをインストールする 1. [ パソコン決裁 6 試用版捺印ツール ] の [ ダウンロード ] ボタンをクリックします 2. [ 実行 ] ボタンをクリックし [SetupDstmp32.exe] ファイルを実行します ご利用のブラウザまたはバージョンにより画面が異なりま

VG シリーズ用ローカルファームアップ / 自動ファームウェア更新設定手順書 VG400aⅡ ローカルファームアップ / 自動ファームウェア更新設定手順書

MP:eMeeting インストールマニュアル Version /06/30 株式会社デジタル ウント メア

目次 1. よくあるご質問一覧 回答一覧 改訂履歴 Page- 2

<4D F736F F F696E74202D E9197BF C A F B A834C C A5F C52E B8CDD8AB B83685D>

大阪ガス株式会社 情報通信部 御中

1

f-secure 2006 インストールガイド

Microsoft Word - XOOPS インストールマニュアルv12.doc

メールソフトの設定 設定に必要な情報について... P2 迷惑メール対策 OP25B について... P3 Outlook 2016 の設定... P5 Outlook 2013 の設定... P8 Windows 10 メールアプリの設定... P11 Mail 10.0 の設定... P15 i

重要インフラがかかえる潜在型攻撃によるリスク

E S E T F i l e S e c u r i t y LAN DISK H シリーズパッケージ ( 機能追加 ) ご注意 事前に本パッケージの追加をおこなってください パッケージの追加方法は 画面で見るマニュアル をご覧ください 本パッケージの追加は HDL-H シリーズファームウェアバー

Ver.70 改版履歴 版数 日付 内容 担当 V /09/5 初版発行 STS V /0/8 証明書バックアップ作成とインストール手順追加 STS V /0/7 文言と画面修正 STS V..0 0//6 Firefox バージョンの変更 STS V..40

1. ネットワーク経由でダウンロードする場合の注意事項 ダウンロード作業における確認事項 PC 上にファイアウォールの設定がされている場合は 必ずファイアウォールを無効にしてください また ウイルス検知ソフトウェアが起動している場合は 一旦その機能を無効にしてください プリンターは必ず停止状態 (

PowerPoint プレゼンテーション

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

スライド 1

目次 第 1 章はじめに 取扱いについて 記載内容について... 5 第 2 章基本操作 OneDrive を開く フォルダーを作成する フォルダーを削除する データをアップロ

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

hTc Z バックアップ手順書 (Ver.1.1)

Adobe Reader 署名検証設定手順書

home-portal2_mobile_quickguide_user_v1.0

Microsoft Word - WebMail.docx

目次 1. ユーザー登録 ( 初期セットアップ ) を行う Office365 の基本的な動作を確認する... 6 Office365 にログインする ( サインイン )... 6 Office365 からサインアウトする ( ログアウト )... 6 パスワードを変更する... 7

マルウェアレポート 2017年6月版

パソコン決裁7 Business 試用版

プレゼンテーション

3 アドレスバーに URL を入力し ( 移動ボタン ) をタップします 入力した URL のホームページに移動します ネットワークへのログオン 画面が表示された場合は ユーザー名 を確 認し パスワード を入力して OK をタップしてください ホームページがうまく表示されないときは Opera B

クライアント証明書

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

建築業務管理システム 補足マニュアル Internet Explorer11 設定ガイド (Windows10 用 )

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

96. ウイルスや不正アクセス等の被害状況 図表 96は 昨年 1 年間に自宅のパソコンでコンピュータウイルスや不正アクセスなどの障害や被害にあったかどうかを尋ねた結果を日米韓で比較したものである コンピュータウイルスを発見した人の割合とコンピュータウイルスに感染した人の割合は いずれも韓国が一番高

日本作物学会講演要旨PDFファイルの作成手順

<4D F736F F D B838B8A7597A3424F DEC837D836A B5F E315F E646F63>

新製品 パソコンソフト セキュリティ対策ソフト NewsRelease 報道関係者各位 2004 年 8 月 26 日 ソースネクスト株式会社 二重の安心を提供する新発想のセキュリティ対策ソフト セキュリティアドバイザー 年 9 月 17 日 ( 金 ) 発売 ソースネクスト株式

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

Microsoft Word - パソコン定期メンテナンス手順.doc

1.indd

目次 LinQ MobileSNS について...3 ログイン...4 メインメニュー...6 お知らせ スタッフルーム サロン日誌 プロフィール スタッフ携帯 スケジュール 共通機能

1

Active! mail 6 操作マニュアル 株式会社トランスウエア Copyright TransWare Co. All rights reserved.

セキュリティソフトウェアをご使用の前に

1. 電子版購読開始までの流れ ~PC スマートデバイス ~ ご購読の媒体によっては PC 版のみのご提供 もしくはスマートデバイス版のみのご提供となります 詳細は購読開始メールをご覧ください ~PC で閲覧する場合 ~ お手元に届く下記購読開始メールを参照してください ログイン URL よりログイ

第5回 マインクラフト・プログラミング入門

事前準備マニュアル

ICLT 操作マニュアル (2011 年 05 月版 ) Copyright 2011NE 東京株式会社 All Rights Reserved

TaskClock_マニュアル.xlsx

Office365  Outlook

本体内のメモリの合計容量と空き容量などを確認できます a ホーム画面で [ 基本フォルダ ] [ 設定 ] [ ストレージ ] マイファイルを利用する 本体に保存されている静止画や動画 音楽や文書などのデータを表示 管理できます a アプリ一覧画面で [ ツール ] [ マイファイル ] カテゴリ一

2. 総合情報センターホームページからアクセス 総合情報センターホームページ ( 左上にある Web メール をクリ ックします 2015 年 3 月 5 日 ( 木 ) までは現在のメールシステムが表示されます Web ブラウザから直接アクセ

スライド 1

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

SoftBank 201F 取扱説明書

シニアネット福山 ICT 講演会 インターネット安心 安全講座 ~ シニアの安心 便利なネット活用 ~ 2015 年 12 月 4 日 シニアネットひろしま理事長福田卓夫

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

Transcription:

1. Exploit.PDF.CVE-2010-2883 一般向け情報 1.1 Exploit.PDF.CVE-2010-2883 の流行情報 2011 年 12 月 17 日 朝鮮民主主義人民共和国 ( 北朝鮮 ) の金正日氏の訃報に便乗して発生したウイルスである 今回解析する Exploit.PDF.CVE-2010-2883 は PDF 形式のウイルスであり メールや Web サイトに掲載されることで被害が拡大したと想定される 大きな災害が起きた場合や 世界的に著名な人物の死去やスキャンダルなどが報じられた場合には それらを題材にし 便乗したウイルスメールや迷惑メール ( スパム ) がほぼ毎回確実に出現している 今回の Exploit.PDF.CVE-2010-2883 も場合も 同様と推測される 1.2 ウイルス概要 今回解析を行ったウイルスの概要を表 1.2-1 に示す 表 1.2-1: ウイルス概要 NO.2011-06 ウイルス名称 Exploit.PDF.CVE-2010-2883 ウイルス俗称 トレンドマイクロ社 TROJ_PIDIEF.EHJ (2012 年 1 月 10 日時点 ) マカフィー社 -( 未検知 ) シマンテック社 Trojan.Pidief その他 Exploit.Win32.CVE-2010-2 883.a( カスペルスキー社 ) 起源 2011 年 12 月 21 日 ( トレンドマイクロ社 ) 発見日 2011 年 12 月 21 日 動作環境 Appilication Adobe Reader and Acrobat 8 ~ 8.2.5 より前のバ ージョン Adobe Reader and Acrobat 9.x before 9.4 より前の バージョン Adobe Flash Player before 10.2.154.27 on Windows 1

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ 9.4.4 より前のバージョンと 10.x から 10.0.1 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで Adobe Reader や Acrobat 内の CoolType.dll に対し バッファオーバフローを行う 当該ウイルスは複数の脆弱性を利用する 脆弱性番号 (CVE) と その脆弱性が存在するアプリケーションおよびバージョンを以下に列挙する CVE-2010-2883 Adobe Reader and Acrobat 8 ~ 8.2.5 より前のバージョン Adobe Reader and Acrobat 9.x before 9.4 より前のバージョン CVE-2011-0611 Adobe Flash Player before 10.2.154.27 on Windows Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ 9.4.4 より前のバージョンと 10.x t から 10.0.1 メールに添付された Exploit.PDF.CVE-2010-2883 をユーザが実行することで もしくはメールに記載された Exploit.PDF.CVE-2010-2883 をアップロードした UR L をユーザがクリックすることで感染したと推測される ダウンローダ およびボット Exploit.PDF.CVE-2010-2883 は不特定多数の PC に対してボットを感染させることを目的とした PDF タイプのウイルスと想定される 前述の感染条件に合った PC で Exploit.PDF.CVE-2010-2883 を開くと 脆弱性を利用され特定のサイトにアクセスし ボット ( 1) をダウンロードし感染させる ボットに感染後は インターネットを通じて特定のサーバから指示を受け 他のウイルスをダウンロードするなどの感染活動を行う可能性がある 2

1: ボットについては下記 URL を参照のこと http://www.ipa.go.jp/security/antivirus/bot.html ウイルス評価指標 ( 試行中 ) 次頁に評価指標の説明を記す (1) 感染力 (2) 脆弱性悪用力 (3) 自己隠ぺい力 (4) 破壊力 (5) 影響力 (6) 感染拡大力 3

ウイルス評価指標について (1) 感染力 ( 感染のしやすさ ) 実行形式ファイルで 開かなければ感染しないタイプ ファイルを偽装することでファイルを開かせるタイプ ファイルを開く行為をしなくても感染するタイプ (2) 脆弱性悪用力 ( 感染のしやすさ ) 脆弱性を悪用しない 修正プログラムが公開されている脆弱性を悪用する 修正プログラムが未公開の脆弱性を悪用する (3) 自己隠ぺい力 ( 発見のしにくさ ) 何らかの感染を疑うような症状がある 表立った症状は無いがユーティリティの操作等で感染を確認できる ルートキット等の技術が使われており 感染の確認が困難である (4) 破壊力 ( 修復の難しさ ) PC 等の通常利用にほとんど支障が無い 実害はあるが 復旧は困難ではない システムファイルや PC 等内のデータファイルが破壊され 復旧が困難である (5) 影響力 ( 外部への影響の大きさ ) 感染した PC 等から外部に対して何もしない ネットワーク上の他の PC 等に対して DoS 攻撃や spam メール発信等を行う 感染した PC 等から収集した情報を外部に送信または公開する (6) 感染拡大力 ( 外部への影響の大きさ ) 感染機能なし LAN 内の他の PC 等に感染拡大する インターネット上の他の PC 等に感染拡大する さらに詳しい説明は 下記ファイルをご参照下さい http://www.ipa.go.jp/security/virus/report/virus_evaluation_index.pdf 4

(1) 動作概要 Exploit.PDF.CVE-2010-2883 は PDF タイプのウイルスであり メールに添付された Exploit.PDF.CVE-2010-2883 をユーザが開くことで もしくは Exploit.PDF.CVE- 2010-2883 を公開した URL リンクがメール本文に記載してあり それをユーザがクリックすることで感染すると推測される Exploit.PDF.CVE-2010-2883 は 内部に難読化を施した不正な JavaScript や Flas h ファイルが組込まれている 組込まれた不正な JavaScript は脆弱性番号 CVE-2010-2883 が示す脆弱性を利用して 不正な Flash ファイルは脆弱性番号 CVE-2011-0611 が示す脆弱性を利用して ユーザの環境に沿った感染を実現している また 感染後は abc.scr( 実際は EXE 形式 ) ファイルが作成され 実行される abc. scr は外部サイトから GoogleUpdate.exe ファイルをダウンロードし 実行する 実行された GoogleUpdate.exe がボットであり インターネット上の特定のサーバの指令を受信する (2) 想定される被害 (PC 内被害 漏洩情報等 ) Exploit.PDF.CVE-2010-2883 自身が 直接 PC に被害を与える機能を有していない しかしながら Exploit.PDF.CVE-2010-2883 により感染するボットは 外部から PC を操作され ファイルのダウンロードおよび実行機能を有しているため 次の被害が想定される 端末内の情報を外部に送信される ( 情報漏洩 ) ボットがダウンロードした別のウイルスに感染する それにより PC 内被害や情報漏洩等の被害が想定される (3) 事前の回避策事前の回避策は次のような方法が挙げられる Exploit.PDF.CVE-2010-2883 は PDF 内に組込まれた JavaScript を利用して感染を実現する したがって Exploit.PDF.CVE-2010-2883 を開くアプリケーション (Adobe Reader) の JavaScript 機能を OFF( 図 1.2-1 参照 ) にすることで ボットの感染を防ぐことが可能である 常に Adobe Reader 等のソフトウェアを最新にする メールの添付ファイルをむやみに開かない メール本文の URL をむやみに開かない 5

デフォルトでは チェックが ついていますので チェッ クを外します 図 1.2-1 Adobe Reader の [ 編集 ] [ 環境設定 ] 画面 6

(4) 簡易的な感染判断方法 Exploit.PDF.CVE-2010-2883 の感染は次の方法で確認できる (1) レジストリの確認 HKEY_CURRENT_USER Software Microsoft Windows CurrentVer sion Run を確認し 値 GoogleUpd が存在するかを確認する (2) ファイルの確認ファイル名 "C: Documents and Settings <ユーザ名 > Local Settings Application Data GoogleUpdate.exe" が存在するかを確認する (3) プロセスの確認 GoogleUpdate.exe という名前のプロセスが存在するか確認する ただし このプロセス名は Google 社のアプリケーションアップデートプログラムと同名なので 注意が必要である (5) 感染した場合の復旧策 次に示すファイルとレジストリの削除を行う事で システムを復旧する事が出来る (1) プロセスの削除タスクマネージャなどから GoogleUpdate.exe という名前のプロセスを削除する (2) ファイルの削除ファイル名 "C: Documents and Settings <ユーザ名 > Local Settings Application Data GoogleUpdate.exe" を削除する (3) レジストリの削除 HKEY_CURRENT_USER Software Microsoft Windows CurrentVer sion Run の GoogleUpd を削除する 7

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック