ウイルス・不正アクセス届出状況について(2006年11月分):IPA
先月分のレポートが掲載されています。
ウイルスを削除しても、またすぐ感染?
相談:メールを受信した時に、ウイルスに感染したようです。
ウイルス対策ソフトが検知して削除してくれるのですが、他のメールを受信する際にまたウイルス検知の警告が出ます。
ウイルスが削除されていないということでしょうか。どうしたら、完全に削除できるのでしょうか。
回答:ウイルス対策ソフトが発するメッセージをよく読みましょう。
このケースでは、メールをパソコン内のメールソフトで受信する直前に、ウイルス対策ソフトがウイルスを検知して削除した、
というメッセージのはずです。
これ、よく会社でも聞かれたので、やっぱりそういう人が多いのかなとか。
他にも、バナー系の話などが載っていますが、記事になっているのでそっちを見たほうが見やすいかも。
・ eDonkey と呼ばれるファイル交換ソフトのデフォルトポートである4662(TCP)ポートへのアクセスの発信元は
スペイン方面がほとんどですが、11月には1件も観測されませんでした
・gnutella系のファイル交換ソフトのデフォルトポートである6346(TCP/UDP)ポートへのアクセスの発信元は日本国内がほとんどでした
・ファイル交換ソフトの特定はできません(不明)が11418(TCP/UDP)ポートへのアクセスの発信元は台湾方面がほとんどでした
・これもファイル交換ソフトの特定はできません(不明)が40007(TCP)ポートへのアクセスの発信元も日本国内がほとんどでした
・BitTorrent系のファイル交換ソフトのデフォルトポートである6881(TCP)ポートへのアクセスの発信元も日本国内がほとんどでした
・これもファイル交換ソフトの特定はできません(不明)が13909(TCP/UDP)ポートへのアクセスの発信元はオランダ方面がほとんどでしたが、
このアクセスは11月から観測されました
WinnyやShare以外のファイル交換ソフトも注意する必要が在りますね。
「おめでとう!当選です」「エラーを検出しました」---バナー広告の罠に注意:ITpro
これって、記事になるレベルなんだ...<「おめでとう!当選です」
エラーを検出しました系の偽ウィルス対策ソフトだとだまされそうかなとは思うんだけど、当選しました系は違うと思ってた。
IPAには,バナー広告で誘導されたWebサイトにおいて
「セキュリティ・ソフトと称する怪しいソフトをインストールさせられた」「オンライン詐欺に遭った」――
といった相談が多数寄せられているという。
例えば,「あなたは999,999人目の訪問者です。おめでとう!」といった内容を表示するバナーが確認されている。
これって、海外からの「宝くじ当選しました!」エアメールなWeb版なだけだと思うんですが...
もうちょっと、そういう細かいところもここにのせていくようにしないといけないかなぁ。と、思ったのでメモ。
ちなみに、この当選画像、正方形版もあります。
関連:
・「おめでとう!あなたは999999番目の訪問者です」別サイトへ誘導する“罠”に注意:ITpro
Windows 2000に不正終了させられるセキュリティ・ホール,検証コードも公表:ITpro
secuniaやHotFixReportBBSも掲載されていたやつが記事になってました。
今回のセキュリティ・ホールは,Windowsに含まれる「プリント・スプーラ・サービス(Spoolsv.exe)」が原因。
同サービスには「GetPrinterData()」リクエストを適切に処理できない場合がある。
このため,細工が施されたリクエストを送信されると,Windows 2000が不正終了してしまう。
(略)
修正パッチは未公開。現時点での回避策は,プリント・スプーラ・サービスを無効にすること。
シマンテックのDeepSightでは,プリント・スプーラ・サービスを利用していないミッション・クリティカルなWindows 2000マシンでは,
同サービスを無効にするよう勧めている。
ちなみに、無効にした場合に発生することも理解しておいたほうが良いと思うので、技術情報を数点メモ。
印刷が必要な端末だと停止できないですね。
技術情報:
・Windows 2000 Professional で新しいプリンタを追加するときにエラー メッセージが表示される
・エラー メッセージ : 操作を完了できませんでした。The Print Subsystem Is Unavailable
・プリンタの追加ウィザード使用時の "操作を完了できませんでした" エラー メッセージ
・スプーラ サービスが無効である場合に Update.exe を起動できない:2000SP1,SP2だけなのかなぁ???
参考:
・Microsoft Windows Print Spooler Denial of Service Vulnerability - Advisories - Secunia
・ゼロデイ:Microsoft Windows プリンタ スプーラ サービスへのDoS攻撃脆弱性、修正プログラム未提供 : HotFix Report BBS
404 not just “File Not Found”:Computer Security Research - McAfee Avert Labs Blog
ITmedia エンタープライズ:アドウェアインストールあの手この手、今度は「エラー表示」を装う手口で、既に記事になっていますが、 あれこれ手口が変わりますね。 あと、在りえそうなのだったら、IE7でフィッシングサイトを見たときに表示される画面を模倣してそこから誘導とかもありそうだなぁ。 とかとか...手口は多様化してますね。
自動更新のウイルス対策/システム メンテナンス ソフトウェア「Windows Live(TM) OneCare(TM)」 正式版を2007年1月30日より発売
やっぱ、タイミングは同時でなんですね。 Windows Live - Windows Live OneCare クリニックなサイトは初めて見ました(w 販売前に少し使用してみたいなという人はβ版がまだ入手可能なので、そちらから。 Windows Live(TM) OneCare(TM) Beta (v1.5) 正規版は90日間トライアルも可能なようなので、それ待ちもありかなぁ。 記事: ・ITmedia エンタープライズ:MS、Windows Live OneCare発売は、Vistaと同じ日 ・Live OneCare日本語版の発売はVistaと同じ1月30日 - CNET Japan
ポートスキャンでWiiを調べてみた:Eiji James Yoshidaの記録
いろいろ調べた結果が載っています(何
Wiiのサービスが停止したり誤動作したりするんじゃないかと思って怖かったが、まずはポートスキャンでしょ(笑)
そういうものなのか(w
ITmedia エンタープライズ:MS、Windows XPのVPCイメージを無料提供――IE 6とIE 7の検証用
ダウンロードセンターの紹介で既にこのblog内でも紹介済みですが、記事になっていたので再度。 見落としていた人は要チェック。
サイトを見る前に、URLから運営者情報を確認できる「aguse」:Internet Watch
これおもしろいー。
aguseでは、調べたいサイトのURLを入力するだけで、当該サイトのIPアドレスや逆引きホスト名、スクリーンショット画像などを確認できる。
これにより、初めてアクセスするサイトの内容を事前にチェックできる。
サイトhttp://d.hatena.ne.jp/hanazukinの調査結果はこんな感じ
→http://www.aguse.net/result1.php?url=http%3A%2F%2Fd.hatena.ne.jp%2Fhanazukin%2F
ちゃんとフォルダ単位で対応してくれるみたい。
また、データにない場合も少し時間掛かるけど、
「調査中です。しばらくお待ちください」という内容が表示されちゃんとスクリーンショットもとってきてくれます。
実際に、IPAとかで話題になっている「当選おめでとう」なサイトを入れてみた。
当選おめでとうなサイトの判別状況。
ここで、入手できる情報は
・サイトの概要
・サイト登録日
・サイトのタイトル
・スクリーンショット(クリックすると拡大します)・・・画像取得日時も表示され更新可能
・実際に表示されるサイトのURL
・IPアドレス
・逆引きホスト名
・詳細情報
・サーバの位置情報(国名/都市/地図表示)
・ドメイン情報
・正引きIPアドレスの管理者情報
・その他の情報
・ブラックリスト判定結果
類似のサービスで、McAfee SiteAdvisorが紹介されていますが、用途は異なると思いますし、
ここで紹介されているサイトのほうがリアルタイムな感じですよね。
Sleipnirでの検索アイコンに登録する場合
(1)メニューバーのツール→Sleipnirオプションでオプションダイアログを起動。
(2)左ペインの検索内「検索エンジンリスト」を選択
(3)新規をクリックし
・名前/アクション名 aguse(まぁ、わかりやすいかと)
・リクエスト http://www.aguse.net/result1.php?url=
・エンコード URL ENCODE
で登録してあげると使えるようになります。
Calendar Of Updates Calendar
まっちゃさんちから。 確かに、すごいなぁ...と、思うものの、目的に絞られていないとよくわかんない。 Calendar Of Updates -> RSS Feedsで、吐いているRSSを入手することもできるので、サイト見るよりRSSとるほうが見やすいかも? Microsoft MVPな人がポストしてるなぁ
ITmedia エンタープライズ:パスワードの使い回しは危険――ITUが警告
今までも言われていた話ですね。 同じパスワードは避けましょう。
Novell,「OpenOffice.org」「Microsoft Office」文書の相互変換ツールを提供へ:ITpro
素晴らしい。 自宅でOfficeを購入する余力のないユーザにはありがたい話ですね。 完全互換とはいかないとは思いますが、ビューアだけでは編集ができないのでなんだかなぁ...ということも多いですしね。 同様の記事:ITmedia News:Novell、OpenOffice.orgにOffice Open XMLをサポート追加
「花子」にバッファ・オーバーフローのセキュリティ・ホール:ITpro
・JVN#47272891「花子」におけるバッファオーバーフローの脆弱性:IPA脆弱性関連情報の調査結果 ・JVN#47272891:花子におけるバッファオーバーフローの脆弱性 ・「一太郎2005/2004、花子2006/2005/2004、三四郎2005 セキュリティ更新モジュール」、 「一太郎ビューア」、「花子ビューア」、「一太郎Lite2 セキュリティ更新モジュール」の公開 新井さんだー。影響: 悪意あるユーザが、細工された花子文書を「花子」利用者に送り、その文書を「花子」利用者が閲覧し、特定の操作を行うと、 任意のコードを実行される可能性があります。だそうです。開くだけでは何も起こらないとはいえ、修正モジュールがリリースされているので適用しておきましょう。
