プラスターは快適で安全なネットカフェ環境システムを創造します。
ホーム » ExTrapper for Resource » 大規模なネットワーク障害をもたらすウイルスに関して » 2008年6月上旬から発生
発生地域
弊社が確認した範囲ではほぼ全国で発生しております。
※)ExTrapper for Resourceでは対応済です。
2008年初頭から被害報告されているウイルスとは全く別物です。
| 2008年6月上旬 | 愛知、岐阜、神奈川、東京で発生 |
症状
・ネットワークが極端に重たくなる
・端末がフリーズする
発動パターン
意味のない文字列がブラウザに表示される場合があります
原因
通常であれば各端末がルータと通信します。
ウイルスに感染した場合MACアドレスが書き換えられる為に親端末に通信が集中します。
この段階でページの書き換えが発生しアクセスした端末があたらに感染します。
感染経路
パターン1
パターン2
-
端末①がダウンローダやP2Pでファイルをダウンロード
解凍後使用方法などの説明ページを開く -
説明ページに仕込まれた悪意あるホームページに誘導
この時点で端末①が感染 - 端末①が別モジュールをダウンロードしてバックドアを開ける
- 端末①が店内ネットワーク全体に対してゲートウェイ変更通知を行う
-
その他端末のトラフィックが端末①に集まる
この時点で端末①にアクセスした端末が新たなウイルスの保有端末となる
特徴
仕組みが簡単な為に今後亜種が発生する可能性があります。
ウイルスの種類
トロイの木馬(Trojan.DownLoader)タイプです。
ウイルスの解析
中国語の環境のマシンでMicrosoft Visual C++ 6.0で作成されております。
1.広告表示用のCABファイルをダウンロード
2.CABファイルを展開してテンポラリ領域にコピーしスタートアップに登録
ウイルスの動き
-
端末①が悪意あるホームページにアクセス
もしくは、端末①がダウンローダやP2Pでファイルをダウンロードしページを開く
ExTrapper)禁止リストにより危険なダウンロードを抑止 -
gifに拡張子を偽装したexeが実行される
ExTrapper)ExTrapperのクライアントで通信を抑止 - 実行されたexeが別モジュールをダウンロードしてバックドアを開ける
- 店内ネットワーク全体に対してゲートウェイ変更通知を行う
ExTrapper for Resourceではステップ1と2を抑えますので発動まで至りません。
ExTrapper for Resourceの対応状況
現在のExTrapper for Resourceでは完全に対応しておりますが、対応以前のバージョンを導入店舗では発生確率が軽減されます。
※)多発地域の店舗様で正しくExTrapper for Resourceを運用されている場合は
今回のウイルスに未対応のバージョンでも発生しなかったとの報告を頂いております。
ダウンローダやP2Pの起動を規制することで感染リスクが軽減したと思われます。
マイクロソフトの対応状況
セキュリティ情報 MS08-031 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (950759)
公開日: 2008年6月11日
このセキュリティ更新プログラムは、非公開で報告された 1 件の脆弱性および一般に公開された 1 件の脆弱性を解決します。
非公開で報告された脆弱性では、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。
コンピュータのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
一般に公開された脆弱性では、ユーザーが Internet Explorer を使用して、特別に細工された Web ページを表示した際に情報漏えいが起こる可能性があります。
マイクロソフトのアップデート情報
この時点で端末①が感染
この時点で端末①にアクセスした端末が新たなウイルスの保有端末となる