パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Winnyネットワークに蔓延する拡張子偽装手法: RLO」記事へのコメント

  • by Anonymous Coward
    ITPro の方にコメントした人なので AC。ですが、引用しておきます。
    (当人による引用だからいいよね。)

    記事のデータは興味深く読ませていただきました。
    ただ一点、気になるのが、RLOやアイコン偽装を指摘していながら、explorer の詳細表示の種類表示の有効性について触れていないことです。
    図5は確かに「危機感」を煽るには有効ですが、画面は詳細表示の画面に見えるにもかかわらず種類表示を意図的に割愛しているように見えます。
    これにはバラエティ番組の「ヤラセ」のような不快感を覚えます。

    「こうすれば少しは安全性は上

    • ITPro の方の3ページ目
      http://itpro.nikkeibp.co.jp/article/Interview/20070413/268234/?ST=secu... [nikkeibp.co.jp]

       なんと128個もの実行ファイルを単独で公開しているノードがあったのです。しかも,このノードが公開している実行ファイルのほとんどは,わずか数種類のウイルスだったのです。これがどういう意味か分かりますか。

       つまり現在のWinnyネットワークには,同じウイルスに様々なファイル名やファイル・サイズを付けて,他人がダウンロードできる状況にしているユーザーがいるということなのです。

      つまり,同じウイルスに様々なファイル名やファイル・サイズを付けて,ばらまこうとしている人がいるということですか。

      • by kei100 (5854) on 2007年04月22日 16時36分 (#1146539)
        このデータなんですが、ただの超ヘビーユーザーを掘り当ててしまったという可能性はないのでしょうか?
        該当ノードが所有するファイル数が莫大な物になればウィルスの量も相対的に増える可能性は十分にありますし。
        論文とかみたいデータが出てるわけじゃないし、議論するには私の理解が中途半端だと思うので間違っているかもですが。
        でも、そのノードが保有するファイル母数が出ていないと数字のトリックにしか見えないです。
        てなわけで歯切れが悪いのは仕方ないかなーとも。

        何が言いたいかっていうと、この話で出ているノードがウィルスをばら撒く第1世代である愉快犯等の主犯ではなく、
        結果的に生物濃縮みたいに偽装されたウィルスを溜め込んだだけのノードであるか?という可能性の有無ですね。
        もちろん、その両者ともネットワーク的には存在しない方が好ましいのでしょうが。
        親コメント
        • 何処にぶら下げようかと迷いましたが、とりあえず此処に。

          某所で知った時は、こんなバカ(よく分かっていないのは仕方ないとしても、肩書き付きで日経ITProに寄稿する・・・)な上司の
          部下や関係者はいい迷惑だ、と思いました。

          スルーしようと思ったですが、ここのコメントを見ていると、あの記事の酷さが分かっていない人も結構居そうですし、
          詳しくない人が、真面目なセキュリティ研究者に対して「リフォーム詐欺的なイメージを持つのでは」と心配になったので、
          あの記事でおかしいと思ったことを並べ立てることにします。

          #1146517 [srad.jp]でも書かれているように、
          WinnyはUnicode未対応のようですし、UnicodeのRLOが悪用されるとすればアーカイブでしょうね。

          # Winnyと並び人気のShareだとアーカイブではなくても悪用できそうですけど、Winnyと明言していますし・・・

          # 標準のZIPだと無理で、RARはWinRARだと可能だけどunrar32.dllではエラー、LZHはunlha32.dllではエラーで
          # それなりにメジャーで、DLLを使った一発解凍系でも悪用可能なのは7-Zipぐらいだったと思います。
          ## 私はまだテスト不足ですし、突っ込み大歓迎です。

          この手法は(まともな研究者の間では)1年以上前に話題になっていたものですし
          セキュリティ関連のブログでも半年ぐらい前からかなり話題になっていたと思います。

          マイクロソフトが「悪意のあるツールの削除プログラム」の削除対象にAntinnyを追加したところ,
          11万台のパソコンからAntinnyを削除できました。その結果,Antinnyによるトラフィックが4割減ったので,
          Antinnyに感染しているパソコンの台数が28万台だと分かりました。
          Antinnyによるトラフィックって具体的には何を指すのでしょうかね?
          DoS攻撃を行う亜種(?)のトラフィックなのでしょうか?
          それとも、Antinnyの含まれているファイルのWinnyネットワークでのトラフィックなのでしょうか?
          後者であれば、かなり価値のある研究だと思いますが、この記事のレベルだとそうだとは到底思えませんけど (苦笑)

          DoS攻撃を行う亜種は数種類だったと思いますが、この記事で書かれているマイクロソフトの駆除ツールというのは
          「43種類の『Winnyウイルス』に対応」,マイクロソフトが駆除ツールの新版 [nikkeibp.co.jp]
          これのことなんでしょうかね。

          意図を持って「ウイルスをばら巻いている」
          なんと128個もの実行ファイルを単独で公開しているノードがあったのです。
          しかも,このノードが公開している実行ファイルのほとんどは,わずか数種類のウイルスだったのです。
          これがどういう意味か分かりますか。
          P2P、特にWinnyやShareを狙ったウイルスをある程度分かっている人なら、どういう意味かすぐ分かるでしょうね(苦笑)

          命名規則からトレンドマイクロのウイルスバスターでチェックしたのだと思いますが、それらを検索すると、
          WORM_ANTINNY.BI [trendmicro.co.jp] WORM_ANTINNY.BD [trendmicro.co.jp] WORM_ANTINNY.BB [trendmicro.co.jp]
          等が見つかりますし、(おそらく)感染者が意図せずに、ワームの拡散に協力させられているのだろうと想像できます。

          PE_PARITE.A [trendmicro.co.jp]はちょっと変わっていますが、Antinnyが作成した実行ファイルに感染しているのでは、と思います。

          1つのノードから128のウイルスファイルをダウンロード出来た、とありますが、個人的には「たった128個ですか?」とすら思えます(苦笑)

          唯一、まともと思えるのが、352個の実行ファイルの内検出できたのは6割強、という所ですが、
          これもまた、以前からあちこちで言われていた事の追試程度でしょうし、
          この程度のサンプル数なら、一般の個人でも確認している人がかなり居るんじゃないでしょうかね。

          --
          単なる臆病者の Anonymous Cat です。略してACです。
          親コメント
          • とりあえずアーカイバ周りの方で突っ込んでおきます。Unlha32.dll は Unicode 対応 API で利用可能です。ANSI 版 API の方を叩いてませんか?

            というか、Unicode 版を試してできてしまったので、作者さんに「一応拒否できるようなオプションの指定とかいらないですかね?」というやり取りをしましたので。

            HISTORY.TXT
            Jun. 5,2006  Ver 2.40f  ・"-jsp" スイッチを拡張し, Unicode 制御文字を不正とし
                                      て扱えるようにした。
            COMMAND.TXT にある -jsp オプションの説明
                                    BPL_DENY_CTRLCHARS      (16):

                                            制御文字拒否モード。   Zero Width No-Break
                                            Space 等の  Unicode 制御文字が含まれる名前
                                            を不正とみなします。Ver 2.40f 以降で指定が
                                            可能です。

            この辺りを指定していないデフォルト設定の場合、格納も展開も可能なはずですよ。

            親コメント
            • ご指摘どうもです。
              どうやらアーカイバの方の問題だったみたいです。

              この手法を知った時にはunlha32.dllがUnicode未対応でしたし、最新情報のチェックを怠っていました。すみません。

              幾つか試してみたところ、LHMelt 1.57cでは格納・展開共に可能でした。
              Archive Decoder 1.21でも展開可能でした。
              Noah 3.195とLhaForge 1.3.0は未対応でした。

              ExplzhやArchive Decoderの説明や更新履歴で気になってRARの方も試してみると、
              LHMeltとNoahとLhaForgeでは展開できませんでしたが、
              Archive DecoderだとRLO付きで展開できました。

              アーカイバによって影響がかなり変わってきますね。
              頑張ってUnicode対応にしているソフトほど影響を受けやすいという、なんとも嫌な感じで・・・

              LZHやRARはWebやメールの添付ファイルなどでも結構使われていますし、
              一発解凍系でも展開できるソフトがあるとなると、(ファイル共有ソフトを使っていなくても)かなり危険ですね。


              ついでに訂正ですが、#1146672 の「#1146517 でも書かれているように」というのは、
              #1146502 [srad.jp]でも書かれているように」の誤りです。

              --
              単なる臆病者の Anonymous Cat です。略してACです。
              親コメント
        • OpenWinnyあたりを使って該当するノードの公開ファイルをチェックすれば、他にどんなファイルを公開しているか分かりますね。

          …と思ってOpenWinnyを探して見ると、ホームページが無くなっている。
          おそらくWinnyネットワーク上には転がっていたりするんでしょうけど。

          親コメント
        • 同じトリップがついている同じジャンルの偽装ファイルやウイルス混入ファイルなんて、基本的に故意だと思って丸ごと蹴っているのですが違うのでしょうか?

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...