Winny経由で広まり圧縮ファイルを解凍するだけで感染する「Nullporce」 115
ストーリー by Oliver
悪意は創造力豊か 部門より
悪意は創造力豊か 部門より
Anonymous Coward曰く、"Winny経由で広まる新しいトロイの木馬「Nullporce」が発見された(トレンドマイクロの情報ページ)。 以前発見された「Antinny.B」とは違い、7月に発見された「圧縮ファイルを指定外の場所に解凍してしまう脆弱性」を利用しているため、実行しなくても圧縮ファイルを解凍するだけで感染する。 解凍すると、Windowsの「スタートアップ」に実行ファイルが展開され、Windowsの再起動時にダイアログが開き、デスクトップのファイルがマイドキュメントの「遺失物保管庫」というフォルダに移動し、Windowsのスクリーンセーバーが「Winnyで違法なファイルを集めています。」というものに変更される。 また、OSの登録使用者名を取得して2つの圧縮ファイルを作成、それぞれ「[(任意ワード)][NullPorce] 俺のアドレス帳&お気に入り ○○.zip」「私は○○、Antinnyの作者だ。.zip」という名前でWinnyに流される。更に、Winny.exeが置いてあるフォルダに「NullPorce2MX.exe」というファイルが作成され、 C:\WINNTにアイコンをWindowsXPのフォルダに偽装したexeファイルが複数作成され、レジストリの自動実行に登録されるらしい。 感染の可能性のある人は、脆弱性を対策済みの解凍ソフト(窓の杜の記事)を使用する等で対策をどうぞ。"
予防法? (スコア:3, 興味深い)
Re:予防法? (スコア:3, すばらしい洞察)
まずはパッチの当たった解凍ソフトに変えること!
まずは穴をふさぎましょう。
上の対応では同じ穴を利用した別の挙動のウィルス
に対して無防備ですよね?
Re:予防法? (スコア:3, おもしろおかしい)
>..\..\..\..\..\..\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ\NULLPORCE.EXE
らしいので。
Re:予防法? (スコア:1)
Re:予防法? (スコア:1, 参考になる)
いや一応圧縮ファイル単体で一人歩きする可能性もあることだし
Re:予防法? (スコア:1, 参考になる)
アップローダーに上げられてるファイルとか、結構怖いかも。
Re:予防法? (スコア:1, 参考になる)
人が出始めているようです。
私の使う数ヶ所にはすでにあがっていました。
周知されるまでは結構引っかかる人いるでしょうね。
Re:予防法? (スコア:5, 参考になる)
インストール先ディレクトリにファイル書き込み権限がないことが原因なんで、
インストール先ディレクトリに制限ユーザーの書き込み権限を与えてやればまず動く。
もしそれでもだめなら、大抵
インストールしたときレジストリのHKLM以下にデータ書いてて、且つ(読むだけしかしないのに)書き込み権限付きでレジストリ開こうとするプログラマの怠慢が原因なので、regedt32で
HKLM\SOFTWARE\[インストールしたアプリ]
以下に書き込み権限与えてやればよい。
経験的には、ここまでやってもうごかねー奴はデバイス周りさわってるやつばっかなので、そんなもん制限ユーザーに動かさせなくてよろしい。
#加えて、NドライブあたりにOSインストールすれば
#こーゆー決めうち系ウイルスは何もしなくても大丈夫かと思う。
Re:予防法? (スコア:1, 興味深い)
そのインストール先とやらが
All Users\スタート メニュー\プログラム\スタートアップ
だったりして元の木阿弥なわけだが。
まさにセキュリティと利便性は表裏一体
対処法 (スコア:1, おもしろおかしい)
Admin権限でつかう文化?がそもそもおかしい、、 (スコア:2, すばらしい洞察)
脆弱性といえば脆弱性だけど、解凍するソフトウェアの脆弱性
というよりはWindowsの慣習の脆弱性だと思う。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:2, すばらしい洞察)
Admin/rootとして操作しなくてはならない場合(ちゃんとした*管理者*によるソフトインストール)に交じっていると恐いですよね。
# 昨今のオープンソースサーバのクラックでアーカイブに...とか(ガクガクブルブル
# ウィルスとは言わずともrootkitがこっそりとか
良い悪いは別にして、オープンソース系由来のCygwinのインストールは
(相対だけど)/usr/bin/xxx
みたいなアーカイブをルートで解凍というものだし。
Linuxディストリもそういう風なのがあった記憶があります。
少なくともコンセプト実証がなされたので、偏らずに問題を検討すべきでしょうね。
# とりあえずここにくっつけます
## アーカイブは閲覧系のソフトで中を必ず確認する派なのでID (w
M-FalconSky (暑いか寒い)
なんでもWindowsが悪い (スコア:2, おもしろおかしい)
Re:なんでもWindowsが悪い (スコア:1)
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1, 興味深い)
おっと書き間違えました。「.cshrc」です。
> 書き込みを行うための権限が設定されていなければならないわけで
~/.cshrc は書き込みできるでしょ。普通。
アーカイブの内容がこんな感じだとまずい。
.cshrc
../.cshrc
../../.cshrc
../../../.cshrc
../../../../.cshrc
../../../../../.cshrc
../../../../../../.cshrc
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
確かに。今だと、.bashrc を狙ってくるでしょうね。展開する前に、中身をよく確認する癖を付けないと。GNU tar なら -k, --keep-old-files を付けるとかの逃げもあるけど、元々無いファイル作られて自動実行に陥るなんてケースは避けられない。
アーカイブを展開するソフトすべてが ../ で始まるファイル名をチェックするようにならんとマズのか。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
a
a/../../../.cshrc
というような作り込みかたもありだと思うので、「../で始まる」ではなくて「../を含む」ものをチェックしたほうがよろしいかと思います。しかしアーカイブ内に1000個くらいファイルがあったりするとチェック大変ですよね。Unix系ならgrepすればいいけどWindowsだとどうすればいいのやら。
手持ちのlzh形式を解凍できるソフトは(実際の解凍はせずに)アーカイブ内のファイルの一覧を取得する機能はなさそうです。そういった機能のある解凍ソフトをご存知の方はいませんか?
人生は七転び八起き、一日は早寝早起き
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:2, 参考になる)
cpio や unzip、xpi などはどうなっているのやら…
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
http://www2.nsknet.or.jp/~micco/mysoft/lhmelt.htm
アーカイブファイルをダブルクリックしただけでは、内容一覧しか表示せず、
解凍は、C-A(全選択)してC-E(解凍)というような感じです。
形式は、lzhからtar.bz2まで、各種に対応しています。
zipだけは、最近はWindowsの機能を使うようになってしまいましたが。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
tar cfz /tmp/a.tar.gz ./../.bashrc
とするとなにも言われずにアーカイブ/アンアーカイブされますので、
あまり意味ないチェックですね。
(そもそも変なアーカイブを作るのに tar を直接叩かないかもしれませんが)
Mac OS X 10.3.5 上の GNU tar 1.13.25 で試しましたが、多分他でも
一緒じゃないかな。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
> 一緒じゃないかな。
ううむ。たぶん、Mac OS X の GNU tar は何か違うのでしょう。 FreeBSD と Vine Linux の GNU tar 1.13.25 で試しましたが、./../.bashrc でも同じ warning とエラーになりました。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:2, 参考になる)
p を加算していないので、./../hoge がマッチしないようです。
(darwin 8b [apple.com]でも同じ。バグっぽい…)
本家のソース(1.14) [gnu.org]ではそんな事は無いようです。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
どちらにせよ、実装まかせでは無理がありそう。chroot(8) かませるようにするかな。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
名物に旨いものなし!
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
#すっごく面倒くさいですけどね。いっときやってましたがギブアップ・・・
名物に旨いものなし!
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1, 参考になる)
>つまり、400 にしておいても、ファイルを上書きできてしまう?
「上書き」は出来ませんが消して同名のファイルを新しく作ることはできます。
mkdir foo; chmod 700 foo
touch foo/bar; chmod 400 foo/bar
tar cf foo.tar foo
chmod 600 foo/bar; echo test > foo/bar; chmod 400 foo/bar
tar xf foo.tar
cat foo/bar
MacOS X 10.3.5, GNU tar 1.13.25 で試したら foo/bar の内容が消えました。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
cp なんかは、そんな余計なことしないように作られていますが、そうじゃないプログラムを作るのは簡単です。
Re:Admin権限でつかう文化?がそもそもおかしい、、 (スコア:1)
ディレクトリfooのアクセス権を400にすれば、当然tar xfも
エラーになります。
まあディレクトリにアクセス権があればファイルの削除・追加
ができることを考えれば、当然の結果なわけですが...
感染の可能性のある人は (スコア:1, すばらしい洞察)
まずWinnyから足を洗えよ・・・。
妖精哲学の三信
「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
Re:感染の可能性のある人は (スコア:1, おもしろおかしい)
書庫が解け、NullPorceがハードディスクに満ちる時、人それを『感染』という」
B「Winnyやめろよ」
A「Winnyをやめるという選択肢は無い!」
Re:感染の可能性のある人は (スコア:1)
Winnyを使ってるともらっちゃって、Winnyを使い続けると広まっちゃうって代物でしょ?これ。
妖精哲学の三信
「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
Re:感染の可能性のある人は (スコア:3, すばらしい洞察)
たとえば魅力的なフリーソフトを作ったかのように装ってリンクを貼ります。発覚を遅らせるためにアーカイブの中には目的のファイルも入れますが、こっそり悪意のあるファイルを混ぜておくこともできるわけです。
Re:感染の可能性のある人は (スコア:2, 興味深い)
感染したDLLで新しい圧縮ファイルを作ると自動的に紛れ込むとか。
Re:感染の可能性のある人は (スコア:2, すばらしい洞察)
スタートアップからSMTPサーバを起動してしまえば、メールで広まるウィルスに。
スタートアップにBIOS書き換えプログラムを入れてしまえば、BIOS破壊ウィルスに。
スタートアップから起動し、LANにつながっているマシンを調べて、共有フォルダに自分自身をコピーすれば、LANで広がるウィルスに。
スタートアップ乗っ取りなんて、蟻の一穴。
((((;゚Д゚)))ガクガクブルブル
# lhaplusの脆弱性対策版キタ━━━━(゚∀゚)━━━━ッ!!
# http://park14.wakwak.com/~schezo/
Re:感染の可能性のある人は (スコア:1)
現在ではwebでも入手できるようになったようですが。
稀有な例ですが、これのためだけにnyを入れるか悩んだことがあったので・・・
#結局その時はあきらめた。
Re:感染の可能性のある人は (スコア:1)
・(nyを使っている)⇒(違法行為をしている)とみなされ易い。
・設定によっては違法コンテンツを中継することになる。
・ポートを開けるリスク (本当に開ける必要があるかは知らん)
ってのも頭にはよぎったんですが、結局のところ
(nyをインストールする手間)> (入手できるものの価値)*(入手出切るものの確率)
だったんですなぁ。そもそも101使いなんでブツは日本語化パッチ [neime-i.itss.ac]当てるのに必要なだけだったから・・・
Re:感染の可能性のある人は (スコア:1)
>入手出切るものの確率
入手出来る確立、ですな。常にモノが流れているとは限らない(だろう)って意味です。
#非ACも3分開ける必要があるのか、鬱陶しいなぁ。
Re:感染の可能性のある人は (スコア:1)
norimu
前ストーリで脆弱性じゃないとか言ってた人たち (スコア:1, 参考になる)
Re:前ストーリで脆弱性じゃないとか言ってた人たち (スコア:1, 参考になる)
レジストリ書き換えてるんだから、やろうと思えばいくらでも酷いことは出来るよね。
良心だとは思わないけど、スキルが無かったわけじゃなくて破壊活動が目的じゃなかっただけだと思うな。
#もっと破壊的な亜種が出てくるかも知れないけどさ。
「ただ、面白いから?」 (スコア:1)
思わず「それじゃ、ただのサルだ」というセリフを思い出しました。
#しかし「lain」は未だにネタの宝庫だな…しみじみ
ちなみに私は前ストーリのタレコミで、
「脆弱性(というより「危険性」か?)」と書き込んだのですが、
やっぱり「危険性」の方がが正確かなと、この場合。
かっとばせ ヌルポース (スコア:1)
ヌルポ ヌルポ AutoRUN♪
ぬるぽ ぬるぽ オートラン♪
おまえが踏まなきゃ誰が踏む!
…だそうで。
サウンド付きなんだそうだが、どんな曲かちょっと聞いてみたい気も…。
Re:かっとばせ ヌルポース (スコア:2, 参考になる)
> バックには『ねらい撃ち』のメロディが流れる
そうなので、みんなで歌ってみよう!
#ていうかうっかり踏んだのは誰だ
Re:かっとばせ ヌルポース (スコア:2, 興味深い)
夏のジョークにしては悪質? (スコア:1, 参考になる)
Re:夏のジョークにしては悪質? (スコア:1, 参考になる)
【警報】Winnyを狙ったワーム・ウイルス情報 Part24
http://tmp4.2ch.net/test/read.cgi/download/1092058756/
#リンク貼るのマンドクセ
混同してますな (スコア:1, 興味深い)
実は内部コードに「Joke_NullPorce」と書いてあります。
トレンドマイクロの解析にもあるようにVBでかかれてます。
で、これとは別のNullPorceがあるようなヨカン。そちらは
某掲示板で話題になった『世界の中心で「生まれてすみませ
ん」と叫べ』というフレーズが入ってますし、こっちは
VBで書いてません。
タレコミ者は両方を混同した内容になっていると思います。
Re:容疑者は (スコア:1, おもしろおかしい)
Re:亜種 (スコア:1, おもしろおかしい)
それは同機能を持つ別ウィルスでは。
亜種というかバージョンアップ版だったら、
NullPorce4Ti.exe とか、 NullPorceFX5950Ultra.exe って流れでしょう。
根強い人気があるのが NullPeniumG450.exe。
Re:ぬるぽ (スコア:1)