BACK
Trojan.Offensive
2001/8/21現在
最近、自分の周りで特定のHPを見た後にPCに異常をきたす、という現象が多発し、
それについて調査してみました。
・感染症状
症状としては、特定のHPを見た後にアプリケージョン起動、設定変更、
Windowsの終了が出来なくなるというもので、強制的に再起動すると、
「 If you have any trouble please email:findlu@21cn.xxx. note:not for japanese&dog&pig」
という表示がでますが、おそらく日本人以外も見れないでしょう。
その後はデスクトップのアイコンが無くなり、ファイルが開けなくなる等の症状になります。
・原理
そのHPは一見しただけでは判らないようにページが書き換えられており、
ブラウザのセキュリティ設定のJAVAアプレットのスクリプト設定項目によって、自動的にJavaスクリプトが実行され、
PCのレジストリファイルを複数箇所書き換えられたものだと推測できる。
そこで私もJAVAスクリプトを実行する設定で、そのHPに突っ込んだ!!
のだが特に変化なし。ふ〜〜む。
いったい影響のあるPCと、影響のないPCの違いはなんだろうか?
で、調べた結果以下の事がわかりました。
・対策法
で、私のPCが平気だったのはJava VMのバージョンの関係でした。
DOSプロンプトまたはコマンドプロンプトでjview コマンドを実行し、Java VMのビルド番号が、
下図のように3802 以上で大丈夫です。
あとネスケは平気ですね。多分。
そうでなければ、以下の情報を参考にして修正パッチをあてましょう。
「Microsoft VM による ActiveX コンポーネントの制御」 の脆弱性に対する対策 (MS00-075)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-075
http://www.microsoft.com/japan/java/vm/dl_vm40.asp
また、修復に関するツールを一部のワクチンベンダーが公開しているので、参照してください。
http://www.nai.com/japan/virusinfo/010820malware.asp
このように企業、メーカーのHPも安心して見れない時代になってきました。
おそらく今、はやりの
CodeRed
のサーバーのっとりに便乗しているような気もします。
実際、HP改ざんかけられていたサーバーはWinNTでしたし。。。まあ、一概には言えませんがね。
これからますます、個人のセキュリティが大切な時代になると深く思いました。
back
SEO
掲示板
[PR]
爆速!無料ブログ
無料ホームページ開設
無料ライブ放送