パスワードを忘れた? アカウント作成
96448 story

Adobe ReaderやFlash Playerの脆弱性を突くウイルス、急拡大中 114

ストーリー by makeplex
こちらのウイルスも要警戒 部門より

あるAnonymous Coward 曰く、

「JSRedir-R」という、悪意のあるJavaScriptが埋め込まれたWebページが急速に拡大しているそうだ(日経ITpro)。

このウイルスは、以前ネット通販サイト「GENO」に埋め込まれていたことから「GENOウイルス」などとも呼ばれており、Adobe ReaderやFlash Playerの脆弱性を利用してPCに感染するものだ。脆弱性を持つバージョンのAdobe ReaderやFlash Playerを利用している場合、ウイルスが埋め込まれたWebサイトを閲覧するだけでPCに感染するという。

まとめサイトでは感染が確認されたWebサイトのリストが掲載されているが、多数のマンガやアニメ、ゲームなどのファンサイト・同人サイトなどで感染が確認されているそうだ。

このウイルスに感染した場合、FTPでWebサーバーにファイルをアップロードする際にアカウントを盗みとられ、それによりWebサイトが改竄されるという話もある。特にWebサイトを運営している方は注意が必要だろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 関連ストーリー (スコア:4, 参考になる)

    by fcp (32783) on 2009年05月18日 20時17分 (#1567877) ホームページ 日記

    このウイルスは、以前ネット通販サイト「GENO」に埋め込まれていたことから「GENOウイルス」などとも呼ばれており

    だったら「PC通販ショップGENOのサイトにマルウェアが仕込まれる [srad.jp]」を関連ストーリーに入れましょう。

  • これが詳細?
    http://headlines.yahoo.co.jp/hl?a=20090515-00000005-cwj-secu

    **以下抜粋**

     アップデートの対象は、無償で提供されている「Adobe Reader」および有償製品「Adobe Acrobat」の9.1およびそれ以前の全バージョン。バージョン8(8.1.4以前)やバージョン7(7.1.1以前)も対象となっており、今回のアップデートによって、それぞれバージョン9.1.1、8.1.5、7.1.2となる。対象プラットフォームもすべて(Windows、Mac OS X、Linux/UNIX)だが、Mac版のReader/Acrobat 7.1.2については公開が遅れており、「6月末までに」(Adobe)公開する予定だという。

     Adobeのセキュリティ・アドバイザリ(英文)では、今回のアップデートで修正される脆弱性の深刻度は「最高レベル(critical)」とされているが、その具体的な内容は明らかにされていない。ただし、以前、同社のセキュリティ・チームが JavaScriptを無効にするよう呼びかけていたことから、JavaScriptの実装部分にバグがあったのではないかと見られている。
    --
    ----------- 一生勉強を続けなきゃ!
  • で、どのバージョン? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2009年05月18日 19時46分 (#1567859)
    どのバージョン以前だと問題があるのか書いてほしい。

    自分がどのバージョン使ってるのかわかりにくいアドビ製品もどうにかしてほしいな。
    • by moca (33770) on 2009年05月18日 22時31分 (#1568019) 日記

      意外と気が付きにくい点として、
      Firefox等のプラグインとIE用のActiveXは、「別のプラグイン」なので
      普段はFirefox使いで、IE専用サイトをたまにIEやIE Tab等で見てる人は
      Firefox用プラグインを更新するだけでなく、IE用も更新しないと危ないです。

      あと、Flash Player [adobe.com]のページの
      最新版のバージョン番号の表示は、最新版が公開されてもすぐ更新されないみたいなので、
      信用してはいけません。

      kailasさん紹介の
      >http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
      のほうはすぐ更新されるか私は知らないです。すみません。
      ついでに#1567959さんが紹介してくれてる自動通知の更新間隔はデフォルトで「30日」なんですね・・・・・・
      いつも、自動通知する設定なのにされないで、自分で脆弱性情報をたまたま見つけて更新するほうが多かった気がします。
      「7日」に変更したほうが良い気がします。

      親コメント
    • by kailas (1249) on 2009年05月18日 20時28分 (#1567882) ホームページ 日記

      Flash playerのバージョンチェックサイトです。
      http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm [adobe.com]

      親コメント
    • by adeu (2937) on 2009年05月18日 22時41分 (#1568035)
      Secunia PSIを使うと問題のあるアプリケーションを報告してくれます。
      日本語インタフェースがないのでちょっと敷居が高いかもしれませんが。
      ただ自分の場合、いろんなプログラムでバンドル使用されているFlashが計4つも出てきて
      正直どうせいっちゅうねん、という気分にさせられます。
      あとOperaの場合は最新版(バージョンは忘れました)を入れてもなぜか一つ前のだという
      警告が出続けて面倒だったので、最終的にOperaは削除して使わなくなった・・・ということが。
      親コメント
  • ・FTPがパスワードを平文で送信するという脆弱性についてはスルーですか(パケットを見て抜いているらしいとの情報あり)
    ・サイトが改ざんされているかどうかのチェックはどうすればいいですか(ClamAV走らせておけば見つけてくれるとかそういう情報は見あたらず)
    ・ウィルス自体はパスワードを抜くだけで、改ざんは別ホストから行われているとの情報を見ましたが具体的なIPアドレスなどは分かりませんでしょうか。(該当IPのブロックは拡散対策として有効だと思うのですが)

    • ちょこっと情報みつかりました。
      zlkon-gumblar-問題に関して [atword.jp]
      ・今のところパケット監視説が有力だがキーロガーだったらscpでもダメかも
      ・埋め込まれるJavaScriptは頻繁に変更されエンコードされているようなのでシグネチャでの検出は難しそう(ClamAVには期待できなさそう)
      ・改ざんはボットネットからの接続で行われているっぽい(言われてみれば悪人が自分所有のサーバから接続してくるなんてことは無いよな)

      とりあえずサーバサイドとしてはxferlogに海外からのアクセスが無いか確認、かなぁ。

      親コメント
  • これからは (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2009年05月18日 19時46分 (#1567858)
    XPS使うことにするか...
  • Adobeこわいお (スコア:1, 参考になる)

    by Anonymous Coward on 2009年05月18日 19時56分 (#1567864)
    • by Tsann (15931) on 2009年05月18日 23時28分 (#1568093)

      それで、このAdobeとのつきあい方としてどうするのがいいんでしょう…
      pdfはまだ回避手段があるけど、flashなんかは。

      Google Chromeのsandboxでなんとかなるのでしょうか? --safe-pluginsオプションが必要?
      自分自身はFirefox + NoScriptでスクリプトを含む外部コードを実行するかを個別指定していますが、一般人には勧められる方法ではありませんので、何かいい方法があれば。

      親コメント
  • by Anonymous Coward on 2009年05月18日 19時56分 (#1567865)

    64-bit Adobe Flash Player 10 for Linux operating system [adobe.com]は、10.0.22.87で対応済みなんだろうか…。

    • by masakun (31656) on 2009年05月18日 20時13分 (#1567874) 日記

      Troj/JSRedir-R Trojan - Sophos security analysis [sophos.com]

      Affected operating systems Windows

      LinuxやOS/2でブラウジングするだけでは無問題。Windows ユーザーはまとめサイトにある「とりあえず感染してるか確認する手順」を試してみては。

      # 今朝 Windows XP で確認したのでID

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
      • by Anonymous Coward on 2009年05月18日 20時37分 (#1567889)

        まあでも、そのうちプラットフォーム問わず穴を狙われるようになるんじゃね?
        Adobeの二大バカ^H^H製品はだんだん標的になりつつあるようだし。

        あとAdobe AIRにも飛び火するようになると嫌だな。
        最近これ使ったデスクトップアプリ増えてるし、つーかこいつがLinuxでも動くもんだから、
        Linux上の年賀状作成ソフトの不在が解決してしまったし [yubin-nenga.jp]。

        親コメント
  • by Anonymous Coward on 2009年05月18日 20時32分 (#1567887)

    Windows Vistaは一応UACが有効になっていれば感染しないそうです。
    あの糞うざい機能もそれなりに役に立つようですね。

  • by 90 (35300) on 2009年05月18日 21時57分 (#1567976) 日記

    なんで"C:\WINDOWS~"なんでしょう?%SystemRoot%っていう素敵な表記法があるのに。

    • by Tsann (15931) on 2009年05月18日 22時26分 (#1568013)

      それよりも、フルPath指定なしでcmdやらregeditやら有名な実行ファイルを呼び出すなんて。Path上にトロイとか仕掛けられてたらそっちが起動してしまうこともあるのに。
      # ウィルス対策ソフトがこういうファイル名のファイル作成については指摘してくれるのかな? でも危険な可能性という点は拭えないし。

      親コメント
    • Re:まとめの判定法って (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2009年05月19日 14時25分 (#1568576)

      %SystemRoot%が理解できる人はC:\WINDOWS\...を適切に読み替えられる。
      %SystemRoot%が理解できない人はC:\WINDOWS\...で間違いない。

      親コメント
  • by Anonymous Coward on 2009年05月19日 9時37分 (#1568305)

    数日前からにわかに2ちゃんのセキュリティ板で盛り上がり始めたものの、ニュースサイトなどではほとんど言及なし。
    /.Jでも週が明けるまで数名が日記を書く程度だったので、正直、一部の連中が騒いでいるだけなのか? と思っていました。

    実際のところ、感染が同人系サイトに集中しているというのはどういう現象なんでしょうか?
    通称GENOウイルスと呼ばれることからも、個人管理のサイトばかりが感染しやすいレベルのウイルスではなさそうですし、もっと爆発的に広がって、ネット中で話題になってもいいようなものだと思うのですが。
    (そうなってないからこそ、アンチウイルスソフトも各社対応が後手後手なのでしょうか?)

    • by tarobo (16662) on 2009年05月19日 12時35分 (#1568472)

      小林製薬が2-3日前に感染していたと報告していますが
      騒ぎになりませんでしたね
      #見に行く人が少ないのかな?

      親コメント
    • by Anonymous Coward on 2009年05月19日 15時22分 (#1568629)

      同人作家のWebサイトでの報告が多いのは、今風のブログなどではなくFTPでファイルをアップロードするスタイルのサイトを持ってる人がまだまだ多いからではないかと推測されます。

      そういう人の場合、当然同じような系統のサイトを個人PCで日常的に閲覧することになるので、あっというまに流行してしまったでしょう。

      # 感染サイトがノートンに検知されてドメインまるごと危険判定されたために
      # てんてこ舞いしてしまった中の人なのでAC

      親コメント
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...