hylomによる
2009年08月24日 16時05分の掲載
Delphiユーザーは特にご注意を部門より。
Delphiユーザーは特にご注意を部門より。
あるAnonymous Coward 曰く、
窓の杜およびVectorでウイルスに感染しているソフトが配布されていたことが確認された(窓の杜の告知ページ、Vectorの告知ページ、Internet Watchの記事)。
感染が確認されたのはDelphiのライブラリに感染するウイルス「W32/Induc-A」で、このウイルスに感染した状態でDelphiでコンパイルを行うと、汚染されたバイナリを作成する模様。
感染が報告されたソフトは以下のとおり。
- Vector:
- PickBack、PickBack2
- BellTheCat、BOB、Clips、HiG(BeS Tools)、kOSU、OSPE、壱番館
- Wise Disk Cleaner 4 Free 4、WiseRegistryCleanerFree
- 窓の杜:
- Glary Utilities、Glary Undelete
問題となっているウイルスはここ数日で急激に感染が報告されているとのこと。心当たりのあるユーザーはまずはウイルス対策ソフト等でチェックを行って欲しい。
|
|
ありうべき未来? (スコア:5, おもしろおかしい)
「大変だ!Delphiについで.netのライブラリに感染するウィルスが見つかった。感染の度合いは比べ物にならない」
「なんてこった。感染した場合どうなるんだ」
「動作が不安定になって、突然フリーズやリブートをしたり、メモリがいっぱいになって動作が無のすごく遅くなったり、
いつの間にかファイルが壊れていたり、無くなったりするらしい」
「・・・・なんだいつもと変わらないじゃないか」
「・・・・・」
コメントを書く
Re:ありうべき未来? (スコア:2, おもしろおかしい)
いえいえ、ウイルスは作者によってよくサポートされており、頻繁にアップデートされ、時間がたつに連れますます洗練の度を加えていくものですから、Windowsはウイルスではありえません。
コメントを書く
親コメント
Vector、ウイルスと聞いて (スコア:1, 興味深い)
これ思い出した
【トロイの木馬】Vocal Cancel5.06【調査費1万円】7
http://pc12.2ch.net/test/read.cgi/software/1133921632/ [2ch.net]
#ひろふ元気~?
コメントを書く
Re:Vector、ウイルスと聞いて (スコア:3, 興味深い)
さすがにWingrooveはもう許されたんでしょうか
コメントを書く
親コメント
ベクターは2回目・・・かな? (スコア:1)
ベクターのウイルス被害、一部ライブラリ作品にウイルス感染が確認される [slashdot.jp]
#チェック体制すり抜けるような最新のウイルスだったん?
コメントを書く
Re:ベクターは2回目・・・かな? (スコア:3, すばらしい洞察)
こういう事例・実例はリアルタイムスキャンとスケジュールドフルスキャンがそれぞれ補完するものであり、
どちらか一方だけで被害を防げるものではないということを例証してくれるのでありがたいですね。
コメントを書く
親コメント
実行時イメージ展開型は…… (スコア:1)
「UPXかけてるから誤検知されるかも。こっちでチェックしてるから気にしないでOK」
って言ってた作者のソフトは見事に感染してましたとさ。
エロゲ並のプロテクト付ソフトがウィルス感染してたら、ユーザーはサポートとアンチウィルスソフトのどっちを信じればいいんですかね?
UPXなら解凍できる(んですよね?)ので自前で元に戻してからスキャン出来るかもしれませんけど。
コメントを書く
Re:Delphi って、まだ結構使われてるのか (スコア:1)
> お高い
そりゃー、デルファイの巫女 [allposters.co.jp]といえば、おかたいことで有名だったから。
と、思ってググったら、こんなの [coocan.jp]でてきた。やっぱり、あやかってネーミングしてるのね。
#「たかい」じゃないだろ。
#いや、「かたい」ということは、「たかい」のだ。
#何かと間違えてないか?
コメントを書く
親コメント
Re:脆弱性を持つツールはつぶすべきだ (スコア:2, すばらしい洞察)
そんなことを言ったら、大概のツールはつぶすべきだろ?
>良い機会なので Delphi を含む脆弱性を持つツールで作ったソフトウェア
脆弱性がないツールを示してから言うと、少しは説得力があると思うよ。
コメントを書く
親コメント
Re:Delphi って、まだ結構使われてるのか (スコア:2, 参考になる)
今でも Turbo Delphi 2006 Explorer Edition [turboexplorer.com] ってのがあります。
# ついでに Turbo C++ 2006 も
コメントを書く
親コメント
Re:やられた>手法的に (スコア:1)
login.c [xight.org] の件とかですかね。ちょっと違うかな…?
コメントを書く
親コメント
それを言うなら先日のATL (スコア:1)
先日のATL関連の不具合(MS09-034/MS09-035)は VisualStudioのソースともいえるライブラリに脆弱性 [microsoft.com]があったために、特定の関数を使ったプログラムが全て影響を受けるという結果になったんですよね。
だから、DirectX/OS/MediaPlayer/DHTML/OutLook [microsoft.com]/FlashPlayer [adobe.com]/ShockWavePlayer [adobe.com]/Cisco Utility [cisco.com]などが挙げられていますが、氷山の一角だと思われます。
これをヒントにウィルスを作ったとか…まさかね。(備考:脆弱性の公開が7/24, ウィルスの確認が8/18)
・過去に類を見ないほど“怖い”脆弱性、MSがパッチを緊急リリース [nikkeibp.co.jp]
・開発ソフトが影響を受ける条件 [microsoft.com]
そういえば、Vector は前回 フリーソフトのチェックはトレンドマイクロのウィルス対策ソフトだけでやっていて(部門全体には3種類導入してたみたいですが)、パターンファイルの非対応が原因で感染したので確実に3種類のセキュリティソフト通すようにしたみたいですよね。
うちはセキュリティソフトをすり抜けてくるウィルスが結構あるので定期的に手動でチェックしています。
これ [livedoor.jp]は、私が実際にやってるチェックの方法の一部。
# セキュリティソフトで検出できないソフトのほとんどがSpywareやネットゲームの情報読み取りなんだけど何でだろう。
コメントを書く
親コメント
Re:やられた>手法的に (スコア:2, すばらしい洞察)
今回の問題は、
・感染する各PCにライブラリソースが入っていること
ではなく、
・ウィルス作成者がライブラリソースにアクセス可能なため、比較的容易に「トロイ入りのライブラリ」を作成できた
という点でしょう。
感染方法として、
・インストール済のソースを改変してからライブラリをビルド・上書きする
という点については、
> 記攻撃手法にちょっと一手間くわえて「書き換えコードをLIBにコンパイルするときのオプションをランダム化」してみろ
というところまでやってしまえば、凄い大きな意味がありますが、
現状では、ライブラリのバイナリに直接感染(差し替え)するプログラムでも、結果は同じです。
・コンパイラのバージョンごとに差し替え用ライブラリバイナリを用意しなくてもいい
という、ウィルス本体のコンパクト化に貢献しているぐらいじゃないでしょうか。
でも、ライブラリのソースがあると、デバッグ時にライブラリの中にまでトレースできるし、
ライブラリの挙動については、下手なドキュメントを読むよりソースを見る方がわかりやすいことが多いし、
ライブラリソースがあるというのは、凄い便利なんですけどね。
たまにライブラリのバグに対処するのに、自前でパッチ当ててライブラリを作りなおしたりするし。
コメントを書く
親コメント