- ▼ 概要
-
今もっとも「旬」です。「マイコンピュータゾーン」でスクリプトが実行されてしまうってかんじらしいです。(つまり危険なものでも一切警告とか出ないわけです。)
10/9追記:実はよくわかってませんでした(汗。
そして2004/07/05 マイクロソフト、IEの脆弱性を回避する設定変更用パッチをリリース
つまり新しいセキュリティホールがあったことを認め回避策は出しましたがただしこれはセキュリティホールの解消ではなくセキュリティホールのある機能を止めてしまうレジストリ変更ツールで、即座にDownload.Ject問題の根はIEの「セキュリティモデル設計」にある と突っ込まれます。
ちゃんとセキュリティホールを塞ぐパッチが出たのは2004.7.31 のInternet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025) です。月例ではなく緊急パッチとして出されました。ただしこのセキュリティホールはWindowsXP SP2には最初からありません。私は6月段階でSP2のRC(テストリリース版)で実証コードを動かし確認しました。これは特定のExploitを指すのではないわけですね。
- まず、MS04-011の脆弱性のあるサーバーが感染
- IEでアクセスしたクライアントに対し、(下記にも書いてる)MS04-013の脆弱性を突いてファイルを強制実行させる
- その際、MS04-025の脆弱性を利用し(セキュリティ設定の甘い)ローカルゾーンの設定で警告画面など出さずに自動実行させる。
こういう一連の手法を使う「グループ」を指すというかんじなのかな(ちょっと違うかも、あんまり自身ないです...。)。「Ject」とか「Scob」って聞いて、なんか「マフィア」みたいなもんを連想してしまうのはわたしだけでしょうか?
IISサーバーに感染する方は、TROJ_SCOB.AやJS.Scob.Trojanと呼ばれているようです。
ちなみにMS04-025のパッチってかなりの種類のものが含まれてたんですね。よく知りませんでした。
- ▼ Exploit検出名
-
- JS/Exploit-DialogArg.b - マカフィー
- VBS/Psyme - マカフィー
- JS_JECT.A - トレンドマイクロ
- Download.Ject - シマンテック
- Bloodhound.Exploit.10シマンテック
- ▼ これを利用するウイルス
-
かなり危険なものが多いです。スパイウェア・アドウェアだけでなく「キーロガー」やリモートアクセス型「トロイの木馬」など。
- 「ウイルス」Psyme(サイミー)について - 121ware.com
- Troj/Psyme-V - ソフォス
- Downloader.Psyme - シマンテック
- BKDR_BERBEW.B - トレンドマイクロ
- Backdoor.Berbew - シマンテック
- BackDoor-AXJ - マカフィー