Michi-kusa

大切なものはいつだって形のないもの ... The important things are always the ones without form ..


テーマ:

セキュリティ関連企業「Sophos」のブログで見かけた記事が気になったので覚書。
Another iPhone worm - and this time it's malicious | Chester Wisniewski's Blog
( 新たなiPhoneワームウィルス - 今回は危険で悪質なワームが発生 )

Michi-kusa



クリスマスや新年など楽しい休暇シーズンには新種のウィルスがでまわったりしますが、今度はiPhoneを狙ったウィルスが。

jailbroken iPhone ( 脱獄iPhone ) やiPod Touchを介して広まる 「 iPhoneOS.Ikee.B 」 という新しいワームウィルスが発見され、オランダなどで感染が確認されているようです。 ネットワークを介して別のコンピュータをコントロールするプログラムSSH(OpenSSH)の既存パワードを利用して広まり、個人情報などのデータを盗み出し、マルウェアをダウンロードさせ、新たなターゲットへと感染していくワームウィルス。 攻撃者からコントロールされて第3者への攻撃するようなボットネットの一部と化してしまう、iPhone初のボットネットウィルス。これはWi-Fi(無線LAN)で感染を拡大させているようです。

11月初めに「Ikee」「5 Euro Scam」などと呼ばれる世界初のiPhoneウィルス が話題になっていましたが、今回のiPhoneOS.Ikee.B  は、同様にjailbroken iPhone (脱獄したiPhone)やiPod Touchを利用して入り込む新種ウィルス(または亜種ウィルス)で、コマンドでコントロールされ、ボットネットの一部として機能するということです。 2つのスクリプトから構成されていて、ひとつは自分自身を起動させて、もうひとつは感染した機器から盗んだデータを攻撃者が指定するサーバーへアップロードさせたりするもの。( Conflicker、Downadup などでも使われている手法 )

また、既存でアップルが設定してるファームウェア用のルートパスワード(管理者用パスワード)を変更して、ユーザーがセキュリティのため設定変更をできないようにしてしまうため、少し厄介なようです。

現在分かっている範囲でこの危険を回避するには、iTunesを使って最新のアップルのファームウェアで更新するのが一番シンプルな対処方法のようです。 但し、既にマルウェアが入り込んでしまっていたりウィルス感染しているiPhoneをネットワークに繋ぐ行為は危険も伴うため、注意が必要となります。

感染した機器は、Wi-Fi(無線LAN)を利用することで3Gより多くのIPアドレスへスピーティに広めることが可能となるようです。オランダのISPなど通信会社の回線(無線LAN)を利用して広まったとのこと。ボットネット化したPCと同様ネットワークへのアクセスを活発(頻繁)におこなうため、Wi-Fi接続をONにしているときにバッテリーが急激に消費していたりするような兆候がみられたら、注意をした方がいいかもしれません。

感染した機器には、固有のIDが割り当てられ、攻撃者が機器内部のデータを閲覧が可能となるので、重大なデータの盗聴や盗難へと繋がることになります。

ワームBanker Trojansのように、銀行のSMSを利用した認証へも対応していて、銀行のウェブサイトへログイン(アクティベーション)する際にSMSで送付されてくるワンタイムパスワードも盗み出してしまうようです。(SMS履歴の取得も)

iPhoneのステータス情報の表示は行われず、現在のバージョンではセキュリティソフトウェアの導入も難しいため、物理的なチェックは行えても企業内の環境で行われているような一般的なセキュリティ対応とは異なりそうです。 もし、jailbroken iPhone ( 脱獄iPhone ) が企業内のMirosoft Exchange、WiFi、VPNの環境へ接続されたとしたら...。今後は、貴重なデータがリスクにさらされるということも念頭において検討が必要なのかもしれませんね。


* jailbroken iPhone = jailbreakしたiPhone、脱獄したiPhone
* ウィルスの名称 = iPhoneOS.Ikee.B ( Symantec )、Worm:iPhoneOS/Ikee.B ( F-Secure )、OSX/RRoll.C ( MaCafee )、iBotnetA ( Integro )、iPh/Duh-A ( Sophos )


iPhoneOS.Ikee.B の感染、拡大、駆除する方法について

01:iPhoneOS.Ikee.B とは
02:感染すると (感染と拡大方法)
03:対応方法について (対処例)


以下は、Symantecのウィルス関連情報「iPhoneOS.Ikee.B | Symantec 」(英文) からの引用
 (情報更新日:2009.11.22)

01:iPhoneOS.Ikee.B とは(概要)

jailbroken(脱獄した)iPhoneを介し、SSHの既存パスワードを使い広まっていくワームウィルス。大切な個人情報などのデータを盗み出して、感染した機器にマルウェアをダウンロード。

-------------------------------------------------
名称:iPhoneOS.Ikee.B
発見日:2009.11.22
Virus Type:ワーム
被害レベル及び危険度: 低
対処および駆除:易
ダメージレベル: 低
感染方法:SSHによる拡大
感染レベル: 低
-------------------------------------------------


02:感染すると (感染と拡大方法)

STEP 01
ワームが実行されると、iPhoneが持つ既存のルートパスワード(管理者権限パスワード)を使って、ワームは特定のIPアドレスをSCAN(検索して)SSHクライアント(次のターゲット)へ接続を試みる。
-------------------------------------------------
・192.168.0.0-192.168.3.255
・94.157.100.0-94.157.255.255
・87.103.52.255-87.103.66.255
・94.157.0.0.0-120.157.99.255
・114.72.0.0-114.75.255.255
・92.248.90.0-92.248.120.255
・81.217.74.0-81.217.74.255
・84.224.60.0-84.224.80.255
・188.88.100.0-188.88.160.255
・77.248.140.0-77.248.146.255
・77.54.160.0-77.54.190.255
・80.57.116.0-80.57.131.255
・84.224.0.0-84.224.63.255
-------------------------------------------------

STEP 02
管理者権限でのログインに成功すると、新しいホスト(次のターゲット)へ自分自身をコピー。

/private/var/mobile/home/cydia.tgz

STEP 03
次に、ワームは上記のパッケージを解凍して、その中に入っているスクリプト(プログラム)をインストール。そして、iPhoneを起動したときにワームが開始されるように、下記のバックグラウンドで実行されるプログラム(?)「Daemons」設定ファイルをコピー。
-------------------------------------------------

/System/Lybrary/LaunchDaemons/com.apple.ksyslog.plist
/System/Lybrary/LaunchDaemons/com.apple.period.plist
/System/Lybrary/LaunchDaemons/com.apple.periodic.plist
-------------------------------------------------

STEP 04
ワームは/etc/master.passwordに記述されているパスワード変更。ルートユーザーのパスワードを変更することでデフォルトパスワードは無効となり、ユーザはアクセス不可となり、攻撃者のみが新しいパスワードでログインできるようになる。

STEP 05
さらに、下記パッケージをダウンロードしてインストール。
-------------------------------------------------
adv-cmds_119-5_iphoneos-arm.deb
sqlite3_3.5.9-9_iphoneos-arm.deb
curl_7.19.4-6_iphoneos-arm.deb
-------------------------------------------------

STEP 06
上記パッケージのユーザ名とパス名を、/private/var/mobile/home/[RANDOM_DIGITS]/infoセーブしてコントールサーバーへ送信。( 例:IP address: 92.61.38.16 in Lithuania : リトアニアのサーバー )


03:対応方法について (対処例)

1. 下記のデータが存在する場合は削除

/private/var/mobile/home/duh
/private/var/mobile/home/sshd
/private/var/mobile/home/heh
/private/var/mobile/home/.tmp
/private/var/mobile/home/syslog
/private/var/mobile/home/inst
/private/var/mobile/home/cydia.tgz
/private/var/mobile/home/adv-cmds_119-5_iphoneos-arm.deb
/private/var/mobile/home/sqlite3_3.5.9-9_iphoneos-arm.deb
/private/var/mobile/home/curl_7.19.4-6_iphoneos-arm.deb
/private/var/mobile/home/[random numeric digits]/info
/private/var/mobile/home/[random numeric digits]/sms.txt
/etc/rel

2。既存のルートパスワード ( 管理者権限用パスワード ) を新しいパスワードに変更
( Appleによって“alpine”が初期設定されているようです。 )




■関連

Downadup、Conficker/MS08-067脆弱性でネットワーク感染するUSBウィルス|Michi-kusa
WIRELESS GATE / iPhoneでマクドナルドのWi-Fi接続サービスを利用する方法|Michi-kusa
公衆無線LANし放題 / iPhone 3Gをマクドナルドなどでwi-fi接続するための設定方法|Michi-kusa
AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:

Downadup、Conficker、Kido / MS08-067脆弱性を突きネットワーク感染するUSBウィルス
セキュリティ関連覚書 ( 最終更新日:2009/01/24 )



企業のネットワークなどで 「 Downadup (Dwonad) 、Conficker、Kido 」 と呼ばれるウィルスの感染が広まっているようです。 MS08-067の脆弱性を突いてネットワーク経由で繁殖することから08-067wormsと呼ばれたり、USBなどのリムーバルディスクを介して感染を広めることからUSBウィルスとも呼ばれているようです。

2008年11月頃から広まりはじめたこの 「 Downadup 」 ですが、年末年始を終えた先週、企業のネットワークで多くのPCやサーバーで感染が確認されたとのこと。 システムやネットワークにもダメージを与える他のマルウェアが一緒に配信される可能性もありますし、悪意あるウェブサイトへ誘導されることもあります。 ウィルスによって自動的に接続させられるWEBサーバーはアルゴリズムを使って次から次へと変更されていく可能性がありますので、たとえサイトが閉鎖されたり、システム管理者が個々のサイトへのアクセス制限を加えたとしても安心はできません。 また、(モバイルカードが挿入された)モバイルPCは、グローバルIPアドレス(外部IPアドレス)でインターネットへ接続していることもあるため、こちらにも注意が必要かもしれません。

危険度は高くないウィルスとされていますが、ウィルスに感染したPCやサーバーは攻撃者に乗っ取られてコントロールされる危険もあります。 また、多くの亜種が発生したり、分かっていない事実がこれから出てくるかも知れませんので注意が必要ですね。


感染の疑いがあったら...

STEP01 直ぐLANケーブルを抜いてネットワークからPCを切断
STEP02 現状把握とセキュリティ情報の収集
( ウィルス情報、感染経緯、感染状況、影響範囲、対処方法 )
STEP03 ウィルス対策の実行
・Windows Update
・セキュリティ対策ソフトとデータを最新版へ更新
・キャッシュクリア
・ウィルススキャン
・再起動
STEP04 今後の対応を検討


>> Windows Update ( MS08-067の更新 ) については こちら

*感染した場合、数回の駆除対応を繰り返す必要がある場合もあります。

* USBメモリなどのリムーバルディスクの利用には注意が必要
( USBメモリの ”AUTORUN”と”AUTOPLAY”を無効にするなど )

* 駆除・削除を行う場合:
 利用しているセキュリティ対策ソフトベンダーサイトやMicrosoftのサイトで「最新情報」を入手
 また、各種駆除ツールが配布されているのでそちらもチェック




感染からPCを守るためには ...
( 日頃から注意していたいこと )

・Windows Update (Microsoftの修正パッチを最新に更新)
・セキュリティ対策ソフト(製品及びデータ)を最新の状態に
・セキュリティ関連情報の入手
・リムーバルディスク(USBメモリなど)の”AUTORUN”と”AUTOPLAY”の無効化
・ユーザードメインバスワード及びドメイン管理者のパスワードの強化




以下覚書 ( 現在編集中 ) 
--------------------------------------------------------


Downadupウィルスについて


名称:
Worm:W32/Downadup.AL(F-secure)
Mal/Conficker-A (Sophos)
W32/Conficker.worm.gen.b (Symantec)
Worm:Win32/Conficker.B (Microsoft)
Win32/Conficker.A (McAfee,Computer Associates)
Net-Worm.Win32.Kido.ih (Kaspersky Lab)
( +上記の亜種 ... W32.Downadup.Bなど )

対応OS:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT,
Windows Server 2003, Windows 2000

種類:Worm
カテゴリー:Malware


概要

コンピュータまたはネットワークのリソースを使って自分自身をコピーするためのプログラムで、システムやネットワークにもダメージを与える他のマルウェアが一緒に配信される可能性もあります。 セキュリティソフトの検知から逃れるためにランダムな拡張子名を利用することがありますので、スキャンをかけるときは全てのファイルを指定することが必要です。


詳細

01:自分自身をコピーしたdllファイルとtmpファイルの作成
02:リムーバルディスクへ自動起動ファイル(autorun.inf)と関連ファイルを作成
03:実行ファイル(exeファイル)の作成
04:関連Windowsシステムの無効化
05:インターネットアクセスを制限

・繁殖方法について
・ダウンロードについて
・レジストリ情報の修正について


01:自分自身をコピーしたdllファイルとtmpファイルの作成

Downadup (Kido, Conficker) wormが活動を始めると、自分自身を下記のファイルにコピーし、
タイムスタンプを「%system%kernel32.dll」ファイルの日付で上書きします。

%System%\[ランダムな名称].dll
%Program Files%\Internet Explorer\[ランダムな名称].dll
%Program Files%\Movie Maker\[ランダムな名称].dll
%All Users Application Data%\[ランダムな名称].dll
%Temp%\[ランダムな名称].dll
%System%\[ランダムな名称].tmp
%Temp%\[ランダムな名称].tmp

02:リムーバルディスクへ自動起動ファイル(autorun.inf)と関連ファイルを作成

また、システムが起動されるタイミングでワームのコピーが実行されるようにautorun entries(自動実行情報)をレジストリにつくります。 また、USBメモリなどのリムーバルディスクやマッピングされたドライブに下記のファイルを作成します。 

[ドライブ名]\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[ランダム(3文字)]
[ドライブ名]\autorun.inf

03:実行ファイル(exeファイル)を作成
プロセスに自分自身を添付します。

svchost.exe、explorer.exe、services.exe

04:関連Windowsシステムの無効化
ワームはその活動をするため数個のWindowsシステムを無効にします。

Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)

Windows Vistaの場合は、TCP/IP auto-tuningを無効にするコマンドを走らせるようです
( netsh interface tcp set global autotuning=disabled )


05:インターネットアクセスに制限を与えます
ユーザーが「ある種」のドメインリストにアクセスしようとすると、API(DNS_Querry_A、DNS?_Query_UTF8、DNS_Query_W、Query_Main、sendto)を止めてアクセスをブロックしたり、セキュリティに関連した名前(会社、キーワードなど)が入ったドメイン名にアクセス出来ないようにしたりします。



繁殖方法について

ネットワークへ迅速にアクセスし広がるためレジストリの内容を修正。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = dword:0x00FFFFFE

このドライブを使うことで拡散のスピードをあげることが出来るようになり、%System%\drivers\tcpip.sys.の中にその機能が導入されます。

ワームはNetServerEnumを利用し適当なネットワークサーバをチェックします。 NetUserEnum API、事前に用意されているパスワード・リスト、またはサーバー上のユーザーアカウントでログオンを試みます。 発見したネットワークサーバーにログオンを試みます。 ネットワークサーバーへのアクセスに成功するとネットワーク共有が可能になります。 自分自身を「ADMIN$」にコピーします。

\\[ホスト名]\ADMIN$\System32\[ランダムなファイル名].[ランダムな拡張子名]

下記コマンドを実行するために、リモートサーバー上にスケジュールタスク(日次スケジュールのジョブ)を作成します。

rundll32.exe [ランダムファイル名].[ランダムな拡張子名], [ランダム]


ワームはMS08-067の脆弱性を突き、他のマシンのセキュリティホールから自分自身のコピーをダウンロードし増殖することが可能になります。 それを実行するため、まず感染している(自分の)グローバルIPアドレスを取得する目的で、攻撃者が指定する悪意あるサイトへ接続。 ランダムなポート番号を使用したHTTPサーバーをつくります。

http://[グローバルIPアドレス]/[ランダムなポート番号] 

感染したマシンから他のマシンへ故意につくったパケット(悪意あるコード)を送信するため、マルウェアのダウンロードが可能なHTTPサーバーをつくります。 (システムに侵入に成功すると)、ターゲットにされたマシンは先に感染したマシンからマルウェアのコピーを強制的にダウンロードさせられることになります。 ダウンロードされたマルウェアには、bmp、gif、jpeg、pngのどれかの拡張子がついています。 そして、脆弱性による新たなハッキングを避けるためNetpwPathCanonicalize APIに接続します。


ダウンロード について

Downadupはsystemへファイルをダウンロードします。  まずgoogleやyahooなどのサイトへアクセスしてシステムの日付を取得。 取得した日付を使ってマルウェアをダウンロードするためのドメインのリストが作成されます。 ワームは2009年1月1日以降であるかどうかの確認を行います。 この条件を満たしていると下記のウェブサイトからファイルをダウンロードして起動します。 

アクセスするサイト:http://(システム日付から割り当てられたドメイン名)/search?q=%d

ダウンロードファイル名:[ランダムなファイル名].tmp


レジストリー情報の修正について

ワームは、セキュリティセンター警告を無効にし、Windows Defender から防ぐため、幾つかのキーをレジストリーの文字列から削除します。 システム上の自分存在を隠すため、ワームはユーザが作成したシステム回復ポイントを削除し、レジストリキーを下記のように変更します。


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%


感染している間、ワームはtemporary(TMP)ファイルをシステムまたはTempフォルダに作成する可能性があります。 作成されたTMPファイルはサービスカーネルドライバー(SERVICE KERNEL DRIVER )として記録されます。 そこには下記のようなレジストリ情報が使われます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]
Type = dword:00000001
Start = dword:00000003
ErrorControl = dword:00000000
ImagePath = "\...\%MalwarePath%\[random].tmp"
DisplayName = [Random]


キーが作成されると、%MalwarePath%\[ランダムなファイル名].tmpのファイルは削除され、関連したレジストリーに下記の情報が記録されます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName = [サービス名]Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
ObjectName = "LocalSystem"
Description = %description%

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ランダム名]\ParametersServiceDll = %MalwarePath%

上の[サービス名]には、下記からとった2つの言葉の組み合わせが使われるようです。

Boot、Center、Config、Driver、Helper、Image、Installer、Manager、Microsoft、Monitor、Network、Security、Server、Shell、Support、System、Task、Time、Universal、Update、Windows /他


( 参考 : F-Secure Malware Information Pages: Worm:W32/Downadup.AL + α )





Downadup 関連情報

F-Secure ( News from the Lab )

How Big is Downadup? Very Big. - F-Secure Weblog : News from the Lab
When is AUTORUN.INF really an AUTORUN.INF? - F-Secure Weblog : News from the Lab
MS08-067 Worms - F-Secure Weblog : News from the Lab
MS08-067 Worm, Downadup/Conflicker - F-Secure Weblog : News from the Lab

( 追記:2009.01.24 )
警視庁のオンラインシステムに接続しているパソコンも、22日このネットワーク感染型ウィルスW32.Downadup.bに感染したとの情報もあります。


駆除ツール及び最新情報を入手できるサイト



■関連
iPhoneOS.Ikee.B / iPhoneを乗っ取るボットネット・ワームウィルス (仮)|Michi-kusa
WIRELESS GATE / iPhoneでマクドナルドのWi-Fi接続サービスを利用する方法|Michi-kusa
公衆無線LANし放題 / iPhone 3Gをマクドナルドなどでwi-fi接続するための設定方法|Michi-kusa

AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
Norton Bloger's Meeting : Symantec Norton Internet Security 2009
ノートンブロガーズミーティング:ノートンインターネットセキュリティ2009


9月10日(水) 秋葉原UDX THEATERで開催された
[AMN ] 第3回ノートン・ブロガーズミーティング
で ノートン の ”ゼロインパクト” を体験してきました


シマンテック ノートン インターネットセキュリティ2009 は、9月10日発売された新製品。
製品のテーマ 「ゼロインパクト」 に因み、無重力体験をイメージさせるような「宇宙空間」を秋葉原UDXシアターに再現。 製品紹介が行われました。

イベントメニュー
=========================================================
01 : ノートン2009のゼロインパクトへの取り組みと製品紹介

02 : 懇親会
=========================================================



01 : ノートン2009のゼロインパクトへの取り組みと製品紹介

オープニング...
宇宙空間(無重力空間)の映像がシアターのスクリーン一杯に映し出され
私たちを乗せた飛行船は宇宙空間へワープ
凄い勢いで向かってくる隕石をものともせず、高速飛行を続けて、ノートンの基地へと...

そして、プレゼンテーションの開始。


プレゼンターは、シマンテック コンシューマ製品シニアディレクターのデーブ・コール氏。
ノートンのインターネットセキュリティ2009のテーマともなっている
Zero-Impact(ゼロ・インパクト) とは何か、
そして、新しい試みやシステムを解りやすく解説していただきました。


ウィルス対策ソフトを導入していても感染することがある。
原因は、ソフトも対応してない新種や亜種のウィルスだったらから?
そんなこともあるだろう。だけど結構多いのが、「 パソコンの動きが遅くなるから」とか「作業の邪魔になるから 」そう言ってソフトを停止したり導入しないユーザーの存在。

Zero-Impact(ゼロ・インパクト)とは、そんな不満を口にするユーザーには嬉しいコンセプト。
PCに負荷をかけず、ユーザーの邪魔をしない
とにかく、それを回避するため速さと軽さを重視したってことらしい。


英語版のプレゼン資料のタイトルは
Smart Security, Engineered for Speed
( 「スマートセキュリティ、そして速さへの挑戦」 って感じなんだろうか...?)


キーワードは、 1×10×100  その意味とは...




Install Fast ( インストールに時間をかけない )
1 クリックで業界で 番の速さ

Run Fast ( 起動が速い)
起動時間は 10 秒以下で、メモリ使用量 10 MB以下

Featherweight ( 軽量かつ軽快に )
ウィルスを認知するためのデータベースの容量を小さくしファイルサイズは 100MB 位まで減らされた。映画やゲームの時には Silent Mode ( サイレントモード ) を利用すればポップアップも非表示にすることが可能。そして、パソコンがアイドリング状態の際にスキャン、更新、その他の機能を処理する Smart Scheduler ( スマート・スケジューラー )
と呼ばれる機能を装備。 コーヒーブレイクやちょっと席を外したときを狙って、バックグラウンドでハードな仕事をしてくれるらしい。頭いい(=スマート)!
ゲームや映像・音楽・画像編集の時に役立ちそうだ ...

2007年9月に、ゼロインパクトを実現するためかかげられたこの3つの目標。
1×10×100
でも、これを実現するためには複雑な調整や改善が必要で、300以上にも及ぶメンテナンスが繰り返されやっと出来上がったのがこのインターネットセキュリティ2009ってことだ。


更に、スキャニングを速く軽くするため、 Norton Insight というモデルを採用。
キーワードは、Whitelist Behavior Community

例えば、

Whitelisting と呼ばれる安全な(ノートンが信頼できると認知している)アプリケーションのリストを作成。ここに含まれるものをスルーしてしまえば、スキャニング(ウィルス検索)に費やす時間を画期的に減すことができる。
そして、Behavioral Safety Scoring。 信頼レベルを決定するため、SONAR(Symantec Online Network for Advanced Response)と呼ばれるプログラムの行動を解析するエンジンを搭載。まだウィルスとは認知されていない未知のウィルスをキャッチするヒューリスティック機能を備えて、安全を保つ。
更にオンライン上の情報も活用。インターネット上のコミュニティ(Norton Cmmunity) でもその信頼性を検討するというもの。これはマカフィーのSiteAdvisorにちょっと似てるかな(?)。


その他に、ちょっと惹かれたのが無駄のないシンプルなデザインのユーザーに優しいインターフェース。どんなに多機能であっても複雑だったらユーザーには扱いづらくて敬遠されがち。



あとは、パルスアップデート という頻繁(5分~15分毎)にウィルスデータ更新を実行する新機能も加わったようです。


最後に、月の土地をプレゼントしてくれるという抽選会があって(外れたけど)、プレゼン終了。
それから、こんな キャンペーンの紹介も... ノートンで宇宙へGO!~無重力体験プレゼント~



02:懇親会...

プレゼンの後は懇親会。
用意していただいたオードブルとワインで寛ぎながら、参加者の方とのコミュニケーション。シマンテックの方とも名刺交換。ずっと気になっていたラボのこととか直接お話を聞けるキャンスがあってラッキーでした。お聞きしたいことは山ほどあったのに...ちょっぴりワインに酔ってしまったようです...





+α:イベント参加者への配布物...
 
( プレゼン資料 )
解りやすくて視覚に訴えるデザインと構成。これは勉強になりました。
( Fisherのスペースペン )
NASAの依頼で開発された無重力状態でも使える仕様。水の中でも使えるらしい。
( 評価版ソフト )
for Press Use Only」とプリントされた評価版ソフトは、製品版同様365日間利用できるもの。 帰宅後、早速モバイルPCに導入。 現在、- ゼロインパクト体験中 -
インストール時間はめちゃくちゃ速いし、PCユーザーの邪魔をしないってのも納得。
でも、インターフェイスの使いやすさと軽さについては、使い込まないと実際は判らないかな?





イベントを終えて...

新製品テーマとは反対に、ある意味インパクトがあるイベントでした。
シマンテックさんのウィルスデータベースやセキュリティ情報は結構活用させてもらっているけど、ウィルス対策ソフトはまだ。 理由は、作業を妨げるイメージがあったから。 でもそのイメージ、今回の体験で変わりそうです。

脅威やセキュリティへの考え方の変化に伴い、セキュリティソフトも日々変化。
ソフトによって、個性や独自性もあるようなので
自分の環境や生活パターンに合わせたソフトを選びができたらいいですね。

機会があればもっと色々なソフトを試験的に利用してみようかな...




■関連
総合インターネットセキュリティソフトウェア | ノートン・インターネットセキュリティ
9月10日(水)「ノートン・ブロガーズミーティング」のご案内|関連イベント情報|お知らせ|Agile Media Network
AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:

気になったVirus (未知ウィルス)  (覚書)


10月17日(Tokyo Time)、Windows Live Messenger (MSN メッセンジャー) を介してウィルスファイルを受信。

このVirusに感染したユーザーは別の登録済ユーザーへウィルスファイルを送信する。 ( imageに番号をつけたファイル名のzipファイル ) このimageXX.zipファイルの中に存在するimageXX.JPG-www.photobucket.comが実行されると感染を繰り返すという Worm。まだ検知できないAnti-Virusソフトが多いためか知らないうちに感染をしてしまうユーザーも多いようだ。現在は中国語圏での感染者が目立つ...?





(Message) Take a look at the new pics already! :p /他


(File) imageXX.zip (11KB)  XXはランダムな番号または連番


(Visus Name) 多くのAnti-Virusソフトではまだ検知不可

          (一部ソフトで痕跡が似ている過去に発見されたウィルスとして検知される)


              McAfee --> W32/Generic.b.worm として検知される 

              AVG Free Edition --> 認識されない


* 過去に発生したウィルスの名前で検知されるケースが多いので、対処には注意が必要かも知れない。




... 現在までにネットから取得している情報  ...



Threat Assesment (危険度) : Low

Virus Type (分類) : Backdoor

Affected OS (影響を受けるOS) : 

  Windows XP, Windows 2003 Server, Windows 2000, Windows ME, Windows 98

(動作)

imageXXzip の中に入っているimageXX.JPG-www.photobucket.comが実行されると...


1. 下記のファイルがPCのHDD上に複製される

%Systemroot%\system32\rpmsvc.exe

C:\Documents and Settings\%Users%\Local Settings\Temp\imageXX.zip

                     (XXはランダムな番号または連番)


2. レジストリーキーを追加

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Remote Terminal Service = REG_SZ, "rpmsvc.exe "


3. MSN メッセンジャーを介してメッセージとVirusファイルを送付する

This picture isnt you... right?
newest pics for ya :)
hey did i ever show you this picture of me?
is it ok if I add this pic to my new slideshow?
can i up some of these pics of ya to my myspace profile?
Wow i think i found your pic on myspace!
hah I think I found an old pic of us!
haha lets hope your parents dont see this picture of you :D
you care if i put this pictuer of you in my new album?
OMFG!!!!!!!! :D
wow! look at this old picture i found
sorry about the messup i fixed the pic! Try it one more time pz
is this pic tooo sexy for photobucket??
wow I just dyed my hair... You will never believe the color it is now. lol And dont laugh
my crazy sister wants u to see these pics for some reason... take a look
Can i put this pic of you into my new myspace album?
Take a look at the new pics already! :p
I cant believe they wanted me to upload this picture to facebook lol. Its terrible. Like my outfit tho?
Lmfao hey im sending my new pictures! Check em out!
I've been editing some pics you should def see em lol!
dude i just got these pictures off my digital for you! Gimme a moment to find em and send
Wanna see my pics before i send em to facebook?
do you think this picture is too kinky for Myspace?
Hey accept my pictures, i got a bunch from when i was like a toddler :X
I think this picture is terrible. but my friends on myspace want to see it. please dont show noone.
Hey just finished new myspace album! :) theres a few kinky ones in there!
OMG, i found ur pic on cuteornot.com! Check it out
hey you got a myspace album? anyways heres my new myspace album :) accept k?
do I look dumb in this picture? I want to put it on myspace.
hey man accept my pics. :( i just edited it to look maad funny..
Dude i found your picture on hotornot.com! Take a look!



尚、リモートを試みようとする悪意あるIRCサーバーなどへ接続される可能性もあり。

■対処方法


(自動)


1. Anti-Virusソフトを最新の状態にUPDATE。

2. ウィルススキャンを実行。

2. 検知されたウィルスファイルを駆除・削除。



(手動)


1. 追加されたレジストリー値の削除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Remote Terminal Service" = "rpmsvc.exe "


2. Windowsを再起動


3. ウィルスファイルの削除

%System%\rpmsvc.exe
%temp%\imageXX.zip



■関連

Virus情報

Rpmsvc.exe, New MSN Worm Variant - C.I.S.R.T. - Chinese Internet Security Response Team

(UPDATE:2008.12.25) セキュリティ上の理由から上記情報サイトへのリンクを一時的に削除します



いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:

ユーザーが不正なWebページを訪れるとログイン情報が盗まれ、自分のアバターを乗っ取られてしまう恐れもある」 件について (覚書)




IE pwns SecondLife - GNUCITIZEN





ハッカー組織 「 GNUCITIZEN 」 が、オフィシャルサイト上の記事
「 IE PWNS SECONDLIFE - GNUCITIZEN 」
で、Second Life にユーザーのパスワードなどを盗むことができてしまう脆弱性を発見と警告。

Linden Lab では、現在、Second Life クライアント及びオフィシャルブログ上で詳細・対応についてユーザーへの情報提供を実施中。





---  脆弱性についての詳細  ---


WEBへアクセスする際には、 WEBブラウザに 「http://...」 というURLを入力してサイトへのアクセスが可能。

同様に、Second Life クライアントをPCに導入しているユーザーが、 http:// の代わりに secondlife:// 使用したURLをWEBブラウザ上で指定すると、自動的にSecondLifeを起動させて、指定した場所へ移動する などの操作を実行 できる。 


今回の脆弱性はこの 「 などの操作を実行 」 できるという機能を悪用すると、悪意あるサイトへユーザーを誘導したり、ユーザー名とパスワードあどの個人情報を取得することも可能であることを、GNUCITIZENが発見し、警告を発したというもの。  (XML-PRCリモートを利用して、URLにコマンドを記述しiframeを使った不正なサイトでユーザー情報などを取得できる...etc)


この secondlife:// は URIハンドラ と呼ばれるもので、Second Life クライアントをPCにインストールする際にPC(レジストリーなどに)その機能を有効にするための情報が登録される。


セキュリティベンダーの警戒レベルは高くないが、

ユーザーに対する意識・情報の操作、他の懸念もあるため注意が必要。





--- TARGET -対象 ---   .. Linden Lab 社からの情報


WEBブラウザ : Microsoft Internet Explorer (IE6、IE7)

OS : Windows

Second Life クライアント : 1.18.2.0 及びそれ以前のバージョン


* ブラウザがFirefoxである場合、OSがMac及びLinuxである場合は該当しない。





--- 対処方法・対応策 ---


( UPDATE:2007.09.22 )
SecondLife クライアント 最新版(1.18.3.5) リリース ... 2007.9.21 1:49 PM PDT
SecondLife ログイン時のUPDATEで本件脆弱性に対応可。
詳細 : オフィシャルブログ >> Required update for Release Candidate Viewer

> 今週中には最新バージョン1.18.2.1をリリースし対応予定

> 見知らぬサイトへのアクセスは控えること (secondlife://...)

> 適時にパスワードの変更を実施すること



合せて、下記の方法でレジストリーからの該当URIハンドラ削除が可能

(但しレジストリについての知識が必要。実施する場合はLindenLabのブログを再確認のこと)


1.  「レジストリエディタ」を開く

     (  「スタート」-「ファイル名を指定して実行」-"regedit"と入力して実行  )

2.  「レジストリエディタ」の中のHKEY_CLASSES_ROOT\secondlife\shell\open\commandを検索

3.  「名前」項目にある (規定) を右クリックして、「削除」を実行

4.  「レジストリエディタ」ウィンドウを閉じる


これは一時的な対応で、上記の方法で削除した場合も次回Second Life のインストール時に新しいレジストリ情報が復元される。 





      ... この記事は現在編集中です。 追加情報について検証中 ...





今回の件では、ネット上でユーザー主導型の活発な意見交換が行われている。

情報提供及び意見交換をブログなどで実施したLinden Lab の迅速な対応が目にとまった。



知らないということは怖い

情報収集、迅速な対応の大切さ

そして、ユーザー主導型サービスのいい利用方法のひとつがみたような気がした...






■関連

Second Life URL Handler Exploit (本件に関する Linden Lab 社 の公式ブログ)

Required update for Release Candidate Viewer (脆弱性対応バージョンリリースについて)



(UPDATE) 2007.09.22

いいね!した人  |  コメント(0)  |  リブログ(0)

AD

Ameba人気のブログ

Amebaトピックス

      ランキング

      • 総合
      • 新登場
      • 急上昇
      • トレンド

      ブログをはじめる

      たくさんの芸能人・有名人が
      書いているAmebaブログを
      無料で簡単にはじめることができます。

      公式トップブロガーへ応募

      多くの方にご紹介したいブログを
      執筆する方を「公式トップブロガー」
      として認定しております。

      芸能人・有名人ブログを開設

      Amebaブログでは、芸能人・有名人ブログを
      ご希望される著名人の方/事務所様を
      随時募集しております。