2006年09月02日 (土)
ウィルス観測:
Exploit.HTML.IFrame
感染源
このメールの主なヘッダは次のとおりです。
- Received
- from mxg515.nifty.com (mxg515.nifty.com [202.248.238.55])
by mac.com (Xserve/smtpin52/MantshX 4.0) with ESMTP id k7U02ufo010471 for
<yuji_okamura@mac.com>; Tue, 29 Aug 2006 17:03:07 -0700 (PDT) - Received
- from localhost (localhost)by mxg515.nifty.com id k7U02tWA021799; Wed,
30 Aug 2006 09:02:55 +0900 - Date
- Wed, 30 Aug 2006 09:02:55 +0900
- From
- Mail Delivery Subsystem <MAILER-DAEMON@mxg515.nifty.com>
- Message-id
- <200608300002.k7U02tWA021799@mxg515.nifty.com>
更にメールの内容を見ると NIFTY の存在しないメールアドレス宛に送られたメールの送信元として私のメールアドレスが指定されていたために送り返されてきたものだとわかります。そう偽装されていないと思う理由は .Mac のメールサーバに送ってきたホスト mxg515.nifty.com の IP アドレス 202.248.238.55 が今現在 nifty.com の MX (メール転送サーバ) として DNS に登録されている IP アドレス 202.248.238.10 と非常に近いからです。NIFTY のサーバの一つと思われます。
更にオリジナルのメールの内容も見てみました。主なヘッダは次のとおりです。
- Received
- from nifty.com (d150.HsaitamaFL5.vectant.ne.jp [163.139.48.150])by mxg515.nifty.com with ESMTP id k7U02Xlv021390
for <feedback@nifty.com>; Wed, 30 Aug 2006 09:02:33 +0900 - Message-id
- <200608300002.k7U02Xlv021390@mxg515.nifty.com>
- From
- yuji_okamura@mac.com
- To
- feedback@nifty.com
- Subject
- Mail Delivery (failure feedback@nifty.com)
- Date
- Wed, 30 Aug 2006 09:02:30 +0900
これらから Vectant という会社が運営するネットワークの顧客の中の埼玉県で接続されたマシンから発信されたものと推測されます。From が私のアドレスになっていますが、もちろん私のネットワークとは関係ありません。偽装されたものです。
脅威の概要
このメールは HTML メールになっていて、iframe 要素が用いられています。その iframe 要素で表示する内容はメールに添付されているファイルで、MIME タイプが audio/x-wav となっていて wav ファイルとされていますが、ファイル名は message.scr となっています。scr ファイルは Windows のファイルの種類の一つで、実行可能なものです。
つまり Windows Internet Explorer (のコンポーネント)の脆弱性を突いて、wav ファイルという比較的安全なファイルに偽装した実行ファイルを自動で実行させる内容になっています。
更に既に当該の脆弱性が塞がれたバージョン、あるいはもともとそういう脆弱性がないメーラを使用している人向けに「もしメッセージが自動で表示されないならば、次のリンクを辿って配信されたメッセージを見てください。(If the message will not displayed automatically, follow the link to read the delivered message.)」という文言とともに www.nifty.com/inbox/feedback/read.php?sessionid-2814 へのリンクに見せかけて実は添付されたファイルへのリンクを辿らせようとしています。
さて、その添付されたファイルですが Perl スクリプトを書いて BASE64 エンコードを解いてファイルにしてから ClamAV にかけてみたところ Worm.SomeFool.P と判定されました。これは NetSky という名前で知られているワームです。
対策
このメールの場合のユーザにおける対策としては次のようなものが考えられます。
- HTML メールは表示しない設定でメールソフトを使用する。
- OS やアプリケーションのアップデートを行い、脆弱性はできるだけ塞いでおく。
- ウィルス対策ソフトを最新の状態で使用する。
- そもそも脆弱性が頻繁に攻撃される OS やソフトを使用しない。
- iframe 要素を表示しない設定でブラウザやメールソフトを使用する。
順序には意味があります。未知の脆弱性も含めて効果が高いこと、他へ影響して利便性が失われることが少ないことを基準にした私の判断です。2,3 はそもそも常識なので書くまでもありませんが、Windows をアップデートしない人もいるので敢えて書きました。
Mac 用ウィルス対策ソフトの対応状況
私が Mac OS X 10.4 で使用している(ウィルス定義ファイルを最新に更新できるということ)ウィルス対策ソフトで、この NetSky ファイルにどのように対応しているかを調べました。該当するウィルス対策ソフトは次のとおりです。ウィルス定義ファイルは現時点での最新版を使用しています。
- ClamXav 1.0.3h (ClamAV 0.88.4)
- Virus Barrier X4 10.4.3
- Virex 7.2 バージョン 1.1
.Mac で配布された Mac OS X 10.4 で使用できるバージョンの最期のものです。現在 Virex は Mac OS X 10.4 に対応しているもっと新しいバージョンが出ていてます。このバージョンでは能動的にスキャンしないとウィルスを発見できません。
- Norton AntiVirus 7.0.2
これは Mac OS X で初めて使えるようになったバージョンで古過ぎです。古すぎるバージョンの参考ではありますが、Norton AntiVirus の能力の参考にしないでください。
ClamXav 1.0.3h (ClamAV 0.88.4)
- メールそのものの eml ファイル
- 実際にはやっていませんが、Linux で同じバージョンの ClamAV を用いて eml ファイルが Exploit.HTML.IFrame として検出されたことから、ClamXav でも監視フォルダにその eml ファイルが置かれると検出して、(もしそのように設定されていれば)隔離または削除します。
- 添付された scr ファイル
- これも実際にはやっていませんが、Linux で同じバージョンの ClamAV を用いて scr ファイルが Worm.SomeFool.P として検出されたことから、ClamXav でも監視フォルダにその scr ファイルが置かれると検出して、(もしそのように設定されていれば)隔離または削除します。
Virus Barrier X4 10.4.3
- メールそのものの eml ファイル
- ファイルを置くと即座に W32.NetSky.Q として検出しますが、「ウィルスは駆除されました」と報告しておきながら実際には全く駆除されません。このミスインストラクションは何ヶ月も前にフィードバックして、バグだから改善するとサポートの人がおっしゃっていたのですがまだ直っていません。
- 添付された scr ファイル
- ファイルを置くと即座に W32.NetSky.Q として検出し、自動で「修復」するように設定されていると対象ファイルを空にします。
Virex 7.2 バージョン 1.1
- メールそのものの eml ファイル
- W32/Netsky.p.eml!exe として検出しますが、自動で「クリーン」するように設定されていてもファイルに何もしません。
- 添付された scr ファイル
- W32/Netsky.p@MM として検出しますが、自動で「クリーン」するように設定されていてもファイルに何もしません。
Norton AntiVirus 7.0.2
全く役に立ちません。
もっとたくさんのウィルスファイルを対象とした検査結果については「僕は見ていた : VirusBarrier X4 はよくなったがメインで使う製品じゃない」から辿れるエントリ群を参考にしてください。
Posted: 21:29 | Comment | Trackback
以下、類似エントリです。
.Mac および .Mac 配布アプリケーションを利用するためのノウハウやツールを提供しているウェブログです。iBlog の諸問題を克服し様々な機能を追加するためのツール iblogPatcher とそのプラグインや iBlog のバックアッププログラム iBlogFreezer の開発と公開、.Mac カウンタなど .Mac 提供機能の流用&カスタマイズ方法の紹介などがメインコンテンツです。
![[Valid RSS]](http://homepage.mac.com/yuji_okamura/image/valid-rss.png){kind=small}
うっかりすると駄目になってしまいます。エラーが検出されたときは Blog コメントでお知らせください。
Total entries in this category:
Published On: 2006-09-02 21:29
DotMac Counter:
