マイクロソフトの次期サーバ、「Windows .NET Server 2003」が名称を変えて「Windows Server 2003」としたらしい。また発売時期は米国で4/24 に決定したらしい。
また話しは変わってソニーが容量1Gバイトの高速転送メモリースティックを投入したらしい3/21 に出荷開始予定らしい。
挨拶が遅れましたが、明けましておめでとうございます。
今年もよろしくお願いします。
昨年ごたごたしてて書き忘れてしまいましたが、Windows XP を使用しているユーザは
MS02-072 パッチを適用しといた方がいいですよ。
マイクロソフトからMicrosoft VM セキュリティ問題の修正プログラム (810030)がでました。
・ 対象者
Microsoft Virtual Machine (Microsoft VM) ビルド 3805 を含む、それ以前のビルド全て
※ JavaVM を使用している方は別途同様なパッチがSUN から出ています。
・ 参考情報
適用しない場合以下の問題があります。
1. COM オブジェクトに不正アクセスされる問題
2. 任意のフォルダに不正アクセスされる問題
3. 別のウェブサイトで Java アプレットが実行される問題
4. JDBC API を不正使用される問題
5. DoS 攻撃を受ける問題
6. ユーザ名を奪取される問題
7. セキュリティチェックを回避される問題
詳しくは
MS02-069
を参照して下さい。
他にもローカルな脅威の重要パッチMS02-071 も出ています。
マイクロソフトから Internet Explorer 用の累積的な修正プログラム(Q324929)が出ました。マイクロソフトの深刻度評価が「緊急」です。
対象者は、IE5.5 とIE6の使用者です。
このパッチを適用していないと、攻撃者がユーザーのシステムでコマンドを実行できる可能性があります。
参考:MS02-068
また、MDAC2.7の適用に対して、またもや不備がありました。
参考: MS02-065
Windows XP 以外のOSを使用しているコンピュータは、MDACのバージョンアップした方がよさそうです。
http://www.microsoft.com/data/download_270RTM.htm
Q329414 パッチでは今回のセキュリティホールを塞ぐには不十分ということが分かりました。
FQ02-065
今回のセキュリティホールはクライント、サーバ共に影響を受け、IISサーバーをターゲットするCode RedやNimdaレベルのワームが出現する可能性があります。
海外ではいろんなウィルスが日々発生しているものです。
MP3ファイルを削除するLikunワームの亜種。
ICQアプリケーションをクラッシュさせるQillicトロイの木馬。
Small.Rトロイの木馬がSyshelp.com及びSysstart.comを実行。
AzerバッチファイルウイルスがドライブC:からH:を削除。
Normal.dotテンプレートに感染するMSWordウイルスのArgh。
Net\Net32にファイルを保存してしまうAzdropトロイの木馬。
SQL ServerデータベースにアクセスするGrasketトロイの木馬。
キー入力、マウスのクリックをログに記録するSclog.20トロイの木馬。
Jeemトロイの木馬の亜種が電子メールで感染中。
マイクロソフトからMS02-050 修正プログラムの更新がでました。
デジタル証明書の検証機能に問題があり、不正な証明書も有効としてしまう問題に関して、 攻撃者にシステムの制御が奪われる可能性のある攻撃手法の変種が確認されました。 この変種にも対処するために修正プログラムが更新されています。
参照: MS02-050
マイクロソフトから以下の修正プログラムがでました。
@ Q328970 : 2002 年 11 月 Internet Explorer 6 SP1 用の累積的な修正プログラム
これは、IEに対する修正プログラムです。IE5.01sp3、IE5.5sp2、IE6.0、IE6.0sp1を使用している方は適用をした方がいいです。重要レベルです。
参照: MS02-066
A Q329414 : セキュリティ問題の修正プログラム (MDAC 2.5)
これは、OS付属するMDACというコンポーネントの修正プログラムです。WinXP以外の方は適用した方がいいです。
このコンポーネントは主にIE、IISで使用されます。
「Code Red」や「Nimda」ワームを拡散させる原因となったセキュリティホールと同程度ものとも言われています。
参照: MS02-065
Linux の統一化を図ったUnitedLinux が出たらしい。しかし、Red Hat はこの統一化に含まれていない。今度どうなるのでしょう。。。
ご無沙汰です。今日からまた簡単ながら書こうと思います。よろしく。
Windows .NET Server 2003正式出荷は来年4月らしいです。個人的には Active Drectory の移行ツール、またそれ自身に期待しています。
バグ?
インターネットエクスプローラでワードが呼び出せない。
環境 : WindowsXP(MS01-059) office2000(SP2) IE6(MS02-023)
現象 : HTMLのframe からword(docファイル)のリンクをたどり、word を呼び出すと固まる。frame を使用していない場合はOK。frameを使用していても、word を立ちあげていればOK。
バグですか?
IE のパッチ。
悪意のあるユーザーによる以下の被害を防ぐことができます。
(1)[深刻度 : 高] スクリプトをローカルコンピュータゾーンで実行される可能性がある問題です。
(2)[深刻度 : 高] ローカルコンピュータ上のファイルを読み取ることができる問題です。しかしファイルの削除、変更などが行われることはありません。
(3)[深刻度 : 高] 本来読み取ることができない、クッキー情報が読み取られる問題です。
(4)[深刻度 : 中] ファイルをダウンロード際、スクリプトや意図しないファイル実行される可能性がある問題です。
(5)[深刻度 : 低] Internet Explorer のゾーン判定を回避して、信頼されたゾーンで実行される問題があります。
◎参考資料
(MS02-023) : 2002年5月15日 Internet Explorer 用の累積的な修正プログラム
04/22 頃からW32.Klez.gen@mm(シマンテック名)というウィルスが会社に何通もメールで飛んできました。このウィルスはメール感染、ネットワーク感染をし、メール感染ではFROMを偽ってきます(詳細)。しかし、メールのヘッダから送信元のIPがわれるため、何とか駆除することができました。
VBS.Annod.B は、ファイルを上書きするVBスクリプト ウイルスです。 カレントフォルダ(ウイルススクリプトが保存されているフォルダ)内で 発見した.exeファイルすべてに自分自身をコピーします。 ご注意を。
IE5.5sp2,IE6のパッチQ316059
パッチ内容:
悪意のあるユーザーによる以下の被害を防ぐことができます。
(1)[深刻度 : 高] 悪意のあるユーザーの Web サーバーにアクセスすると、Internet Explorer が不正な処理を起こします。
そのため、悪意のあるユーザーが作成した任意のプログラムを実行することができます。
(2)[深刻度 : 高] Internet Explorer のセキュリティの設定でスクリプトの動作を禁止しているユーザーでも、
スクリプトを動作させることができます。この問題を利用することによりユーザーの設定を無視して
悪意のあるスクリプトが動作する危険性があります。
(3)[深刻度 : 中] 悪意のあるユーザーのWeb サーバーにアクセスすると、ユーザーのコンピュータにあるファイルを
読み取ることができます。この問題を利用してユーザーの重要な情報が外部に漏れる可能性があります。
(4)[深刻度 : 中] ファイルのダウンロードに表示されるファイル名と実際にダウンロードされるファイル名が異なります。
そのため、危険なファイルを安全なファイルに見せかけてダウンロードする危険性があります。
(5)[深刻度 : 中] Internet Explorer の制限を迂回しユーザーのコンピュータにインストールされているアプリケーションを
起動させることができます。この問題を利用して、悪意のあるユーザーが指定したファイルと
アプリケーションで、ユーザーの設定を無視して実行する危険性があります。
(6)[深刻度 : 中] フレーム表示を利用してユーザーのコンピュータに不正にアクセスしファイルを読み込むことができます。
この問題を利用することによりユーザーの大事な情報が外部に漏れる危険性があります。
※上記の修正に加え、12/17に周知したMS01-058(ファイルの自動実行、ファイルの読み取りなど)分の修正プログラムも含まれています。今後新規にインストールした場合は、こちらのみの適用でOKです。
◎参考資料
◆(MS02-005) : 2002年2月11日 Internet Explorer 用の累積的な修正プログラム (マイクロソフト)
IE5.5SP2および、IE6にパッチの適用をお願いしましたが、パッチを適用しても既知のセキュリティホールが全て解決したわけではないそうです。
・ PopUp オブジェクトに挿入されたオブジェクトをアクティブスクリプトで実行できてしまう
・ clipboardDataオブジェクトのgetDataは、クライアントのクリップボードにアクセス可能なため、
その内容の変数に保持し、変更されるたびに送信させるなどの盗聴が可能になる
ウィルス:W32.Myparty@mm の流行の兆しあり。
メールの内容
Subject: new photos from my party!
Body:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Attachment name: www.myparty.yahoo.com
内容は良くある最近のウィルスです。メールの大量送信で、ダメージ的には弱いです。またSMTPを独自で持っています。Microsoft Outlook (Express)は、またもや狙われています。
ウイルス情報。
名称 JS.Gigger.A@mm (別名 JS_GIGGER.A など)
感染先コンピュータ上に存在する全ファイルの削除や、再起動後にCドライブのフォーマットを行うワームの存在が報告されています。
このワームははJavaScriptで書かれたワームで、Microsoft Outlookに登録されて
いる全メールアドレスにメールを送信する動作や、ネットワークドライブにもワーム
を感染させる動作を行います。
このウイルスが発信するメールは次のような物です。
件名: Outlook Express Update
本文: MSNSofware Co.
添付ファイル: Mmsn_offline.htm
このウイルスに関する詳細は以下を参照してください。
シマンテック社
トレンドマイクロ社
昨年末から蔓延していた?通称「fusianasanトラップ」ですが
結構話が大きくなっています。
ここ見て
↑に脆弱点の試験があります。そのうち悪用されるかも?
偽のウイルス情報
SULFNBKウイルス・デマメールが日本語訳されて出回っています。
メールには,「sulfnbk.exeというファイルはウイルスなので削除しなさい」という記載があります。
しかし,sulfnbk.exeはもともとWindowsシステムに入っているファイルであり,削除するとトラブルの原因となる可能性が高く注意が必要です。
あけましておめでとうございます。
新種ウイルス情報
メール大量送信型の新種ウイルス(2種)。
@W32.Zoher@mm
AW32.Shoho@MM
特に@は感染力が強いとの報告ですので、javascript.exeという添付ファイルは絶対に開かないようにして下さい。
----------------
W32.Zoher@mm
発見日: 2001年12月24日
W32.Zoher@mmは、Fw: Scherzo!という件名の電子メールで届きます。
添付ファイル名はjavascript.exeです。メール本文はイタリア語で書かれています。
感染力 高
このウイルスの詳細情報は以下のシマンテック社のページをご覧下さい。
symantec
----------------
W32.Shoho@MM
発見日: 2001年12月20日
W32.Shoho@MM はVisual Basicで書かれた大量メール送信型ワームです。
このワームはユーザのコンピュータ上にある*.wab、*.mbxファイルからメールアドレスを探し、
取得したメールアドレスに独自のSMTPエンジンを使って電子メールを勝手に送信します。
なお、このウイルスは、IE 5.5 SP2、IE6の場合は自動実行はおこなわれません。
このウイルスの詳細情報は以下のシマンテック社のページをご覧下さい。
symantec
ウィルス情報です
クリスマスと新年のお祝いメールを装った破壊力の強いウイルス
○ウイルス名: WORM_MALDAL.C
○概 要:
ワーム活動、キーボードの入力の無効化やWindowsシステムディレクトリ内のファイル削除などの破壊活動を行います。
なお、Microsoft Outlookがインストールされていない環境では、ワームのメール送信は行われません
1)ワーム活動
メールに自分自身のコピーを添付して送信します。送信するメールの件名は「Happy New Year」、添付ファイル名は「CHRISTMAS.EXE」です。
また、Windows起動時にワームが自動実行されるようにレジストリ設定を変更し、感染したマシンのマシン名を"ZaCker"に、InternetExplorerのホームページの設定を特定のURLに変更します。
2)破壊活動
ワームはメモリに常駐し、キーボードの入力を無効にします。そしてWindowsのシステムディレクトリ内にある拡張子が"DLL"、"DRV"、"VXD"、"TSP"のファイルをすべて削除してしまいます。
マイクロソフトがある細工が施されたWebページを閲覧すると,実行可能なファイルを勝手にダウンロードして,実行してしまうセキュリティホールがあることを公開しました。またHTMLメールの処理にIEを使うメール・ソフト(OutlookやOutlook Expressなど)を利用している場合には,HTMLメールの閲覧でも同様の影響を受けます。
さらに上記のセキュリティ・ホールに併せて,IE 5.5 および6が影響を受ける,2種類のセキュリティホール情報についても公開されました。
以上3種類のセキュリティ・ホールをふさぐ累積的なパッチが公開されているので,同パッチを適用願います。
セキュリティホール
(1)ファイルを勝手に実行してしまう
(2)ユーザー・マシン内のファイルを読みとられる
(3)「ファイルのダウンロード」ダイアログ・ボックスに表示されるファイル名を改変できてしまう
#(1)については IE 6 だけが影響を受け,(2)と(3)については,IE 5.5 および 6 が影響を受ける。
参考資料
今度は、W32/Goner@MMが流行ってるらしい。これも、このウイルスはメール大量送信型ワーム。添付ファイルを実行した場合、システムがウイルスに感染しシステムの破壊活動を引き起こす可能性がある。添付ファイルは絶対に実行しないで下さい。また、メールを開いただけの場合、プレビューを使用した場合に活動を起こす事はありません。すみやかにメールを削除してください。
McAfee
マイクロソフト,Windows Media Playerの新しいぜい弱性を公表 (11/21)。マイクロソフトはWindows Media Playerにバッファ・オーバフロー攻撃の対象となるぜい弱性が見つかったことを公表した。ぜい弱性があるのは,Windows Media Player 6.4,7,7.1,およびWindows Media Player for Windows XPの各バージョンである。
今 アメリカにて Aliz.Wormの変種(W32.Badtrans.B@mm)が発見されております。会社でも一匹検出されました。
W32.Aliz.Worm(アリズ)の追伸情報
シマンテックさんから連絡がありました。今日、大流行したAlizは、昔に発生したオリジナルではなく、変種だということがわかりました。この変種にはまだシマンテックの定義ファイルでは対応しきれていない状況のため、NAVGateWayを通りぬけてしまうそうです。
ウィルス情報です。
W32.ALIZ.WORMというウィルス付きのメールが社内を飛びまくりました。実際感染した人は2人だったのですが、ニムダ同様、メールをプレビューしただけで活動を開始するウィルスで、マイクロソフトのアドレス帳を調べ、全員にウィルス付きメールを配信します。メールのみの感染です。シマンテックでは2001/5/22に発見されたウィルスだったのですが、どうやら亜種らしいです。現在、日本語対応ページを作成中だそうです。また、トレンドマイクロでは、ココのページで随時更新で取り上げています。
実際自分のところにもメールが来ました。ふに落ちないところは、社内ではNAVGateWayを使用しているのに、引っかかるメールと引っかからないメールがあることです。また、自分のところに届いたメールはNAVのウィルススキャンに引っかかりませんでした。(しかし、保存などはNAVがウィルスを検出してできません。)
IEの修正するパッチ公開
米Microsoft社は2001年11月13日(米国時間),「Internet Explorer の Cookie データが,スクリプトを介し漏えいまたは変更される(MS01-055)」問題に対処したパッチを公開した。この問題は11月8日に発表された。
Mirosoftは2001年11月8日,Internet Explorer(IE)に格納されたCookie情報が盗まれたり,改ざんされたりする可能性のあるセキュリティ・ホールがあると発表した(セキュリティ管理番号はMS01-055)。IE 5.5および6.0が対象になる。同社は,現在このセキュリティ・ホールを防ぐ修正プログラムを作成中だという。
Netscape 6.2 が出てました。
ウィルス情報です。
【PE_NIMDA.E (PE_NIMDA.A, Concept Virus V.6)】
大流行した「PE_NIMDA.A」ウイルスの亜種です。「PE_NIMDA.A」とは使用するファイル名が異なるだけで基本的な活動は同じです。
使用するファイル名:
NIMDA.A NIMDA.E
MMC.EXE → CSRSS.EXE
ADMIN.DLL → HTTPODBC.DLL
README.EXE → SAMPLE.EXE
その他、基本的な活動に関する情報は「PE_NIMDA.A」の詳細情報を参照してください。
10月30日現在、米国と韓国で実際の感染被害が報告されています。現在のところ日本では被害の報告がありませんが、非常に感染力が強いウイルスの亜種ですので警戒が必要と思われます。
【TROJ_KLEZ.A (W32.KLEZ, KLEZA.A)】
現在拡散中のワーム型不正プログラムです。日本でも数件の感染例が報告されていますので十分な警戒が必要です。E-Mailに自身のコピーを添付して送信すると同時にネットワーク上の共有ドライブ全てに自身のコピーを頒布します。大流行した「PE_NIMDA.A(通称:ニムダウイルス)」同様、Internet Explorerのセキュリティホールを悪用して、メールがプレビューされただけで活動を開始するダイレクトアクション活動を実現している危険なワームです。
ワームの送信するメールの送信者、件名、添付ファイル名は不定ですが本文は基本的に以下の内容です:
I’m sorry to do so,but it’s helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don’t call my names,I have no hostility.
Can you help me?
また、ネットワーク経由で感染を広め悪質な破壊活動を行うファイル感染型ウイルス「PE_ELKERN.A」をシステムにインストールしてしまうウイルスドロッパー活動も行います。「TROJ_KLEZ.A」が感染したシステムは「PE_ELKERN.A」にも感染してしまいます。双方ともネットワーク上で感染を広めますので感染が確認されたPCは直ちにネットワークから切り離してください。
- by トレンドマイクロ情報 -
----------------------------------
シマンテックでは、今回のウィルスに関しては、日本語ページは現在作成中らしい。USAのページにはのっています。定義ファイルは10/29のものならば対応されています。あとはIEなどNimdaの時の対応でOKだそうです。もしも感染した場合は、Nimdaの駆除ツールではなく、今回のウィルス版の駆除ツールが現在ではUSAのページからダウンロードできる。
- シマンテック 談 -