Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

Exploit(エクスプロイト)について - 10/10更新

Google の広告

10/9 【ByteCode Verifier】機能が...【Download.Ject】について追記しました。

Part.2はこちらへ

Exploit とは一般的にはセキュリティホールをついて不正なコードを実行させることを指します。ウイルスやスパイウェアなどを勝手に植え付けたりします。つまりは不正プログラムの「送り込み役」と言ったらわかりやすいかも。

Windows Updateを実行して修正されたものについては、たとえファイルを読み込んでしまったとしても不正な実行はされません。また、未修正のものについてもウイルス対策ソフトが検出(防御)できる場合が多いです。ソフトによってはリアルタイムでは検出せず手動スキャン時に検出する場合がありますが、修正済のものなら単純にファイルを削除すればいいだけです。

換言すると、Windows Updateをしていなかった・ウイルス対策ソフトを入れていなかった場合は検出できないような不正プログラムを送り込まれてしまうことも多々あるようです。ということです。要するにセキュリティ対策で最も優先すべきことは「何にもしてないのに感染しちゃったよ〜」にならないようにソフトウェアの脆弱性を埋める=修正パッチを必ず当てておく or アップデートを怠らない、ってことですね。

Trojan.Downloaderとか Bloodhound などの名前で検出

ちょっとややこしいです。俗にいう「Trojan」(トロイの木馬)とは意味合いがかなり違うように思います。不正なコード実行とともにトロイ活動を始めるものも中にはあるんでしょうけど、マカフィーのように単純に「Exploitなんとか」「Downloaderなんとか」の名前の方がわかりやすいと思う。

えーと、つまりこれらは「不正実行させるためのコード」「送り込み役」「運搬手段」であってウイルスなどの不正プログラム本体ではないということです。WindowsUpdateをきちんとすませてウイルス対策ソフトのアップデートをちゃんとしてたらファイルがみつかってもそれほど心配する事無いと思います。

でもそうじゃない方は、とんでもないプレゼントをもらっている可能性が「大・大・大」です。最近は「後の祭り」「後悔、先に立たず」「注意1秒・怪我一生」事例がほとんどですよー。ご注意下さいー。

追記:海外のアダルト系サイトなどの場合、このExploitを実行させて直接レジストリを書き換えたりするとのことです。IEのスタートページ改変とか、信頼済みサイトに勝手に登録するとか。う〜ん、ってことだとExploitコードを直接見ないとナニをされたのか不明ってことですね。

ほんでもってですね、「スタートページ改変+信頼済みサイトに登録」攻撃受けちゃったらこうなるわけですね。
IEを起動するとホームに設定されたサイトにつながる→「信頼済みサイト」に設定されているのでスクリプト有効、ActiveXは確認なしで自動実行される=スパイウェア入れ放題状態になると。

なーるほどです。非常にスマートな攻撃方法かと。やられた方は気付かないでしょうね。Windows起動と同時にレジストリ改変するトリガーをしかけておけばそのトリガーをすべて除去しないことには何度も復活しちゃうわけですね。

そう言えば、かなり以前になりますが友人が「Soap」(だったと思う)に感染しました。しっかりアンインストーラーもあって実行したけど、何度リセットしてもスタートページが「エロ」になるとのことで見てみましたら、スタートアップフォルダにレジストリファイルへのショートカットが置かれてました。再起動する度に書き換えられてたわけでした。

【2006.04.12追記】2chなどの掲示板の「スレッドを開いただけ」で検出された場合は、殆どの場合過剰検知(誤検知)なので心配ありません。ノートントラップとかよくありますね。特定の文字列に反応しちゃうわけです。(本来スクリプトやHTML要素として書くものなどテキストでそのまま貼り付ける)。

ただし、2ch内ではなくリンク先の不審なサイト、または掲示板でもHTMLタグが利用可能な場合は注意が必要です。検出したものだけじゃないかもしれないですから。※まぁ、ブラウザの設定でJavaScript(IEならアクティブ スクリプト)を無効にしていればある程度危険は避けれるかと。あっと、それだけで完全ってわけじゃないですけど。

※ここに書いてるものについては、Windows Update をされていれば影響はありません。※

てなかんじで、有名なものをまとめてみたんです。

まずは、ホームページ見ただけでやられちゃうタイプ。