Palm84 某所の日記

有為のクマにかくれり~

wmfファイルに関する脆弱性【12/31また追記】

【12/31追記】

検証用ファイルを上記の検出名でブロックできることを確認しました。

【追記】アドバイザリが出ました。回避策はWindows 画像と Fax ビューア (Shimgvw.dll) を登録抹消するとのこと。

※但し、この回避策を実行するとビューアは使えなくなります。初期設定だとbmpやjpgファイルなどの画像ファイルが閲覧できなくなるのでご注意。(右クリック編集でペイントでの表示は可能でした。)

これってとんでもないですね。無茶苦茶怖いです。

※あっと、あくまで私の環境での話しです。Windows XP SP2(Home Pro とも)。関連付けの設定によって違うかもです。

  • IEの初期設定(セキュリティ【中】)で踏んだらアウト。プログラムが実行される。
  • Firefox1.5 では踏むとダウンロードの選択画面、「アプリケーションで開く」を選択しちゃうとアウト。(※Windows Picture and Fax Viewer で開いた場合

※IE系タブブラウザなどでスクリプト・ActiveX・Java関連を無効にしていても、ダウンロードが有効ならアウトです。

  • IEのセキュリティ設定【高】ならダウンロードがブロックされるのでセーフ

Firefoxやダウンローダでダウンロードした場合、ファイルにカーソルを当てただけでアウト。プログラムが実行されて explorer.exe がエラー出して落ちる(プチフリーズみたいな)。右クリックからウイルススキャンもできません。(親フォルダ指定すれば可能)

※Windows 2000 SP4 / 98SE(IE6 SP1)では何も起こらずでした。関連付けされてないからかな?
-----そうみたい
脆弱性があるのはWindows XP SP2のみなのかな?
-----じゃないですね
wmf対応ソフトがある場合はどうなのかな?
-----要確認ですね (?ばっかしですみません。。)

ファイルにカーソルを当てただけでってことなので、EdMaxや秀丸メールなどプレビューに添付ファイルのアイコンが出る場合はどうなのか確認してみましたがセーフでした。でも、右クリックから「プロパティ」などを選択しちゃうとアウトでした。(秀丸はウイルススキャン可能。)

※でも、やっぱしちと怖いので自動削除するファイル指定に[*.wmf]を追加しときました。EdMaxって添付ファイル削除するプラグインってなかったでしたっけ?

”個人向け”ウイルス対策ソフトの対応について

”個人向け”ウイルス対策ソフトについてですが、現時点では未対応みたいです*1。多分最新版(2006)なら29日中に自動アップデートで対応するんじゃないかと。Nortonの旧バージョンな方はIntelligent Updaterを当てといた方がいいかなと(※28日付が出たらで)。

マカフィー2006ではDAT4661で対応。検出可能でした。(Exploit-WMF

Norton2006ではBloodhound.Exploit.56で対応。...ですが私の環境(ウイルス定義は28日付)では検出しません。旧バージョンの方はIntelligent Updaterを随時確認された方がいいと思います。

ウイルスバスター2006はexploit自体には対応していないよう(?)ですが、実在する(?)マルウェアに続々と対応中の模様。(リアルタイム検索の設定は「すべてのファイル」に変更しましょう。

NOD32は「Win32/TrojanDownloader.Wmfex」として、IMON/AMON で対応しています。デフォルト設定のIEでもブロック可能です。ただ、IMON(http監視)で検出してるのにAMONでも警告が出るのがなんだかなぁですけど。。

【追記の追記】あう、すみません。NOD32の初期設定ではIMON/AMONともwmfファイルは検査されないですね。設定で追加、または「すべてのファイル」指定をお奨めします。

とりあえずの対処法は?

まぁ私が思いつくレベルですが...

  1. 怪しいリンク、というよりは確証のないリンクを踏まないこと...これで完璧かも?ですが - でも、そんなの見分けるのは難しいし人間誰しもミスはあるし・・・
  2. 万が一のこと考えて、IEのダウンロードを無効にしておく(スライダでセキュリティ【高】にする方が楽かも)
  3. さらに保険として、ウイルス対策ソフトのアップデートを随時手動で確認しておく
【12/30追記】とりあえず私なりの追加の対策(※完全じゃないです。一時的にしか効きません!!)

※NOD32は完全ブロックしてくれるみたいですけど、(私の)Nortonさんとバスターさんはブロックしてくれないので...また、IEのセキュリティ設定を【高】にしとけばいいんですがうっかりということもありえるかなと思うしで...

以下の関連付けの登録削除、及びアドバイザリの方法は一時的にしか効かないようです。IEで表示させたりなどなんらかの操作で登録が復活することがあるようです。(まぁ、全く無駄というわけでなく、やっといた方がいいかもレベルで...)thanks to Luca さん&脳脂肪さん。

  1. フォルダオプションにてwmfファイルの登録を(念の為に控えといてから)削除
  2. 正常な)wmfファイルを閲覧したい場合はIrfanViewとかを使うことにする。(※OSがXP以外でも関連付けされたソフトがある場合は注意した方がよさそうです。)

これで【中】設定でもアクセスと同時にドカンはなくなりそう。ダウンロードの確認画面が出ます。(拡張子偽装されても大丈夫っぽい)

ただ〜し!ダウンロードしちゃった場合はダメポです。カーソル当てただけで(または縮小表示とか)ドカンしますのでご注意。また、jpgなどに拡張子変更されてる場合もドカンしますのでHなファイルとか拡張子がwmfじゃないからOKではない〜jpgでも安心しちゃだめだよ〜!なのでご注意あそばせ。

完全回避はアドバイザリの方法しかなさそうです。結局へんなとこ行かない、リンクをクリックする際は細心の注意を払ってってことですね。なるべくIEのセキュリティ設定は【高】にしときましょう。

ってかんじぃでしょうか(すみません、久方ぶりに真面目なこと書いたら照れ..以下 a fool on the hill)。

30時間程寝てないのでハイになってるかも、今日の仕事の遅れは正月開けに取り戻す所存です。おせち食いながら仕事って悲しいものがあるなぁ...貧乏ひまなしで文句は言えませんけどね〜っていうか自業自得やし...みたいな...とか言いつつ1週間休みま〜〜す。(あ、生卵投げないで!)

*1:NortonのRapid Release も当ててみましたが未検出でした。マカフィー2006のDATは現在4660