窓の杜・Vectorでウイルス感染発覚 60
ストーリー by hylom
Delphiユーザーは特にご注意を 部門より
Delphiユーザーは特にご注意を 部門より
あるAnonymous Coward 曰く、
窓の杜およびVectorでウイルスに感染しているソフトが配布されていたことが確認された(窓の杜の告知ページ、Vectorの告知ページ、Internet Watchの記事)。
感染が確認されたのはDelphiのライブラリに感染するウイルス「W32/Induc-A」で、このウイルスに感染した状態でDelphiでコンパイルを行うと、汚染されたバイナリを作成する模様。
感染が報告されたソフトは以下のとおり。
- Vector:
- PickBack、PickBack2
- BellTheCat、BOB、Clips、HiG(BeS Tools)、kOSU、OSPE、壱番館
- Wise Disk Cleaner 4 Free 4、WiseRegistryCleanerFree
- 窓の杜:
- Glary Utilities、Glary Undelete
問題となっているウイルスはここ数日で急激に感染が報告されているとのこと。心当たりのあるユーザーはまずはウイルス対策ソフト等でチェックを行って欲しい。
ありうべき未来? (スコア:5, おもしろおかしい)
「大変だ!Delphiについで.netのライブラリに感染するウィルスが見つかった。感染の度合いは比べ物にならない」
「なんてこった。感染した場合どうなるんだ」
「動作が不安定になって、突然フリーズやリブートをしたり、メモリがいっぱいになって動作が無のすごく遅くなったり、
いつの間にかファイルが壊れていたり、無くなったりするらしい」
「・・・・なんだいつもと変わらないじゃないか」
「・・・・・」
Re:ありうべき未来? (スコア:1)
Meがピークだったかな。
# ・・あれはウイルスじゃなくてOSだ。
## しょうがないだろう。元コメそのままだったんだから。
### 毎日のように再起動してた頃が遠い昔のようだ。
Re:ありうべき未来? (スコア:2, おもしろおかしい)
いえいえ、ウイルスは作者によってよくサポートされており、頻繁にアップデートされ、時間がたつに連れますます洗練の度を加えていくものですから、Windowsはウイルスではありえません。
Re:ありうべき未来? (スコア:1)
落ちる奴はウイルスだ!
落ちない奴はよくサポートされたウイルスだ!
ホント セキュリティ対策は地獄だぜ! フゥハハハーハァー
Re: (スコア:0)
言ってる意味が分からないけど、落ちにくくなってるから
Windowsはウィルスなのかもね。
Re:ありうべき未来? (スコア:1, 参考になる)
どっかでも見た思ったのでググッてみた。
マイクロソフト・ジョークス [sannet.ne.jp]
のネタですね。懐かしい。
Re:ありうべき未来? (スコア:1, 興味深い)
パワーポイントが10分間に3回も異常終了したりとか?
# きょう、メモリ2.5GBのマシンを使いながら、20MBくらいの
# .pptxファイルを編集していたときに起こった実話です。
# サイズよりも、エクセルで作ったグラフを何十個も貼り込んだのが
# いけなかったのでしょうか。。。
Re:ありうべき未来? (スコア:1, 参考になる)
Excel オブジェクトじゃなくて,「形式を選択して貼り付け」で wmf とかの画像として貼り付けるときっと幸せになれるよ.
# 2007を始めて使ったときは,「形式を選択して貼り付け」がない!なくなった?とか騒いだ記憶がある.
Re:ありうべき未来? (スコア:1)
既にやってるかもしれないけど、
Excelのグラフは一般的にワークシートのセル上に置かれるけど、それとは別にグラフシートという独立したシート上に置くことも可能です。
で、PowerPointに貼り付けるときにグラフを含むセルをコピーするのではなく、グラフシートをコピーするといろいろな負荷が減るかな…と思います。
Vector、ウイルスと聞いて (スコア:1, 興味深い)
これ思い出した
【トロイの木馬】Vocal Cancel5.06【調査費1万円】7
http://pc12.2ch.net/test/read.cgi/software/1133921632/ [2ch.net]
#ひろふ元気~?
Re:Vector、ウイルスと聞いて (スコア:3, 興味深い)
さすがにWingrooveはもう許されたんでしょうか
Re: (スコア:0)
個人的には反省した様子が感じられなかったので許していない。
Re: (スコア:0)
ベクターは2回目・・・かな? (スコア:1)
ベクターのウイルス被害、一部ライブラリ作品にウイルス感染が確認される [srad.jp]
#チェック体制すり抜けるような最新のウイルスだったん?
Re:ベクターは2回目・・・かな? (スコア:1, 参考になる)
リンク先のVectorの告知ページに書いてありますよ。
Re:ベクターは2回目・・・かな? (スコア:3, すばらしい洞察)
こういう事例・実例はリアルタイムスキャンとスケジュールドフルスキャンがそれぞれ補完するものであり、
どちらか一方だけで被害を防げるものではないということを例証してくれるのでありがたいですね。
Re: (スコア:0)
セキュリティをより重視するなら、
ファイルを受理してから一定期間掲載を保留して
ウイルススキャンしてから掲載という形がいいのかな。
時間的なラグとトレードオフになるけど。
Re: (スコア:0)
この事例のベクターは、登録時のみ個別スキャンであり、リアルタイムスキャンやスケジュールドフルスキャンではない。
なにをもって、例証していると判断したの?
スケジュールドフルスキャンは個人的にはあまり意味無いと思う。
潜在的に感染しているファイルの発見や、パターンを更新していない側からコピーされる場合には意味あるが、フルスキャンに必要な時間とCPU負荷を考えると、割に合わない。
Re: (スコア:0)
登録時≒リアルタイムでは未知で発見できなかったウイルスを発見するために
フルスキャンが必要。
という話じゃないでしょうか。
リアルタイムがまともに動いていれば、後ほど検出するかもしれんでしょうが、
未知の驚異を通した後でもまともに動いているかどうかはわからないわけで。
Re: (スコア:0)
普通のリアルタイムスキャンなら外部に出るときに、検出されるだろ。
少なくとも今までリアルタイムスキャンを、ファイル受け入れ時のみに
設定できるソフトは見たこと無い。
よって、「登録時の個別スキャン≒リアルタイムスキャン」のつもりなら
用語が間違っているか、誤った認識だと。
>リアルタイムがまともに動いていれば、後ほど検出するかもしれんでしょうが、
>未知の驚異を通した後でもまともに動いているかどうかはわからないわけで。
その理屈はもっともだが、それならフルスキャンもまともに動いているかどうかは
わからないわけで。
Re:ベクターは2回目・・・かな? (スコア:1)
サーバ負荷とかはとりあえず置いておきますが
ダウンロード要求が発生した都度、対象ファイルを最新パターンで
スキャンする必要がありそうですね。(すでに実施済みなら悪しからず)
IDENTIFICATION DIVISION.
AUTHOR YUKI-KUN.
Re: (スコア:0)
ウイルス対策ソフトのチェック体制なんてその程度のものですよ。
ウイルスかどうかなんて、見てみないとわからないし、見つかる前に流通すればPCに入り込むなんて当たり前。
ウイルス対策ソフトにどんな幻想を抱いているのかな?
Re:ベクターは2回目・・・かな? (スコア:1)
それで、どのような体制が良いと考えるのですかな?
Re: (スコア:0)
過剰な期待をしない体制、でいいですか? 変な期待のしすぎではない?
Re: (スコア:0)
特にVectorは過去にやらかしてるからこそ、
ユーザ側は「またやるかも」程度の警戒感はあるんじゃないかと、
実行時イメージ展開型は…… (スコア:1)
「UPXかけてるから誤検知されるかも。こっちでチェックしてるから気にしないでOK」
って言ってた作者のソフトは見事に感染してましたとさ。
エロゲ並のプロテクト付ソフトがウィルス感染してたら、ユーザーはサポートとアンチウィルスソフトのどっちを信じればいいんですかね?
UPXなら解凍できる(んですよね?)ので自前で元に戻してからスキャン出来るかもしれませんけど。
Re:実行時イメージ展開型は…… (スコア:1)
圧縮に対応したと表記したのがあったと思いますよ。
実際は書いて無くてもかなりがが対応しているでしょうけど。
DIETは昔よく使ったな。
あれしっかり書かれていないけどDOSのデバイスドライバの
圧縮も出来るのでWindows98の時には起動ディスクを1枚に
するのに便利でしたしね。DOSの圧縮も一部のバージョンは出来たし。
Re: (スコア:0)
展開速度を上げるためにUPXをかけることが多いですから・・・
それが「変なバイナリ」に気付かなかった原因の一つかもですね。
Re: (スコア:0)
> 展開速度を上げるためにUPX
え?何かの冗談ですよね?
それとも大昔からタイムスリップしてきた方ですか?
マルウェアなしの単品ウイルスか (スコア:0)
プロトタイプができて実験しようと思ったのか、
研究用のがうっかり漏れて自然拡大したのか、
一次放流者の意図はわからないけど不幸中の幸いだったね。
Delphi って、まだ結構使われてるのか (スコア:0)
値段分のメリットあるのかなぁ。
Re:Delphi って、まだ結構使われてるのか (スコア:1)
> お高い
そりゃー、デルファイの巫女 [allposters.co.jp]といえば、おかたいことで有名だったから。
と、思ってググったら、こんなの [coocan.jp]でてきた。やっぱり、あやかってネーミングしてるのね。
#「たかい」じゃないだろ。
#いや、「かたい」ということは、「たかい」のだ。
#何かと間違えてないか?
Re:Delphi って、まだ結構使われてるのか (スコア:1)
Oracle SQL Developerを使ったとき、Delphiとファンクションキー
の割り当てが似ていて(F9実行とか)ちょっと驚いたのですが、
Delphiの出自を知って納得したものでした。
# 10年前、大学生の頃にDelphi3をアカデミックで2万円
# くらいで買ったのが懐かしいID
『月面兎兵器ミーナ』2007年1月13日から放送開始
Re: (スコア:0)
Re: (スコア:0)
> その後、MSはDelphiの開発者をスカウトしたと聞きました。
C#と.NET Frameworkを開発し割と受け入れられるようになってきたが、
その一方ヘルスバーグが抜けたボーランドがどうなったかは…。
Re: (スコア:0)
Re: (スコア:0)
バージョン古くても、個人で作るフリーウェア程度なら問題ないでしょうし。
以前、知人に紹介したら喜ばれたのでAC
Re:Delphi って、まだ結構使われてるのか (スコア:2, 参考になる)
今でも Turbo Delphi 2006 Explorer Edition [turboexplorer.com] ってのがあります。
# ついでに Turbo C++ 2006 も
脆弱性を持つツールはつぶすべきだ (スコア:0)
良い機会なので Delphi を含む脆弱性を持つツールで作ったソフトウェアを
掲載/提供するのは止めたらどうだろうか > vector 窓の森
Re:脆弱性を持つツールはつぶすべきだ (スコア:2, すばらしい洞察)
そんなことを言ったら、大概のツールはつぶすべきだろ?
>良い機会なので Delphi を含む脆弱性を持つツールで作ったソフトウェア
脆弱性がないツールを示してから言うと、少しは説得力があると思うよ。
Re: (スコア:0)
>脆弱性を持つツールで
VisualStudioもgccも全滅ですな。
やられた>手法的に (スコア:0)
不謹慎承知でいうなら「いいアイデア」だと思った。
最初Delphi狙いのウイルスというと
「メソッドポインタ用のコード書き換え部分を攻撃されたか?」
とか思ったんだが、
もっと素朴というか単純かつ的確で効果的な攻め方だった。
Delphiは殆どのEdition(大雑把にいえば無料版以外かな)にライブラリ「のソース」が添付している。
そいつのひとつ…できるだけ根っこの部分の…を何らかの攻撃でもって書き換えてしまえば、今回のようなことが出来てしまうわけだね。
でさ。これって別にDelphiに限ったことではないよね。
VisualStudioだろうがgccだろうが、同じ手法は原理的に成り立つし、
Delphiならではの攻め方をしたわけでもない(のだろう)から、他にも応用がきく。
さあ。キミの手元のライブラリソースは大丈夫か?
ああ。別にネイティブコンパイラ系だけじゃなくインタプリタ系も心配だよね。
Javaの*.classや*.jarもそうだし、rubyのgem(ローカルリポジトリ)だって心配だ。
しかもだ、発覚するまではツール作者のほうが責められがちになり、
真の攻撃者は逃げ切る時間的余裕がかなり有るときたもんだ。
Vectorかどうかなんてのは仔細すぎる問題だ。
問題は無料ソフトでも自由ソフトでもなく(ましてそれの配布サイトの問題でもなく)「ソフトを作ること」全般への攻撃だ。
考えてもみろ。
上記攻撃手法にちょっと一手間くわえて「書き換えコードをLIBにコンパイルするときのオプションをランダム化」してみろ。とたんに凄まじく検出しにくいウイルスになるぞ。なにせ成果物はバイナリパターンにひっかからないんだからな。アプリ(本来の)作者から出てくるソフトを改組する"必要"もないわけだし。作者が気づかないままだといつまでたってもアレなままだ。
ライブラリのソースもMD5とかで常にチェックしないとならないご時世、ってことかな?
Re:やられた>手法的に (スコア:2, すばらしい洞察)
今回の問題は、
・感染する各PCにライブラリソースが入っていること
ではなく、
・ウィルス作成者がライブラリソースにアクセス可能なため、比較的容易に「トロイ入りのライブラリ」を作成できた
という点でしょう。
感染方法として、
・インストール済のソースを改変してからライブラリをビルド・上書きする
という点については、
> 記攻撃手法にちょっと一手間くわえて「書き換えコードをLIBにコンパイルするときのオプションをランダム化」してみろ
というところまでやってしまえば、凄い大きな意味がありますが、
現状では、ライブラリのバイナリに直接感染(差し替え)するプログラムでも、結果は同じです。
・コンパイラのバージョンごとに差し替え用ライブラリバイナリを用意しなくてもいい
という、ウィルス本体のコンパクト化に貢献しているぐらいじゃないでしょうか。
でも、ライブラリのソースがあると、デバッグ時にライブラリの中にまでトレースできるし、
ライブラリの挙動については、下手なドキュメントを読むよりソースを見る方がわかりやすいことが多いし、
ライブラリソースがあるというのは、凄い便利なんですけどね。
たまにライブラリのバグに対処するのに、自前でパッチ当ててライブラリを作りなおしたりするし。
それを言うなら先日のATL (スコア:1)
先日のATL関連の不具合(MS09-034/MS09-035)は VisualStudioのソースともいえるライブラリに脆弱性 [microsoft.com]があったために、特定の関数を使ったプログラムが全て影響を受けるという結果になったんですよね。
だから、DirectX/OS/MediaPlayer/DHTML/OutLook [microsoft.com]/FlashPlayer [adobe.com]/ShockWavePlayer [adobe.com]/Cisco Utility [cisco.com]などが挙げられていますが、氷山の一角だと思われます。
これをヒントにウィルスを作ったとか…まさかね。(備考:脆弱性の公開が7/24, ウィルスの確認が8/18)
・過去に類を見ないほど“怖い”脆弱性、MSがパッチを緊急リリース [nikkeibp.co.jp]
・開発ソフトが影響を受ける条件 [microsoft.com]
そういえば、Vector は前回 フリーソフトのチェックはトレンドマイクロのウィルス対策ソフトだけでやっていて(部門全体には3種類導入してたみたいですが)、パターンファイルの非対応が原因で感染したので確実に3種類のセキュリティソフト通すようにしたみたいですよね。
うちはセキュリティソフトをすり抜けてくるウィルスが結構あるので定期的に手動でチェックしています。
これ [livedoor.jp]は、私が実際にやってるチェックの方法の一部。
# セキュリティソフトで検出できないソフトのほとんどがSpywareやネットゲームの情報読み取りなんだけど何でだろう。
Re:それを言うなら先日のATL (スコア:1)
zlib とか png とかの方もインパクトは大きかったように思いますが……。
ATL の脆弱性の件に関しては、この手の「よく使われるライブラリ」に見つかった脆弱性とさほど差があるものとは思えません。
# 上記 2 つは Windows も使っていますし。
Re: (スコア:0)
(広い意味での)ライブラリは、作成者以外は改変できない。としておけば今回のような問題は発生しない。
無茶な話ではなく、.NET で10年前からやってることだ。
Re: (スコア:0)
# Delphi 7 と 2009 を併用しているので AC
Re: (スコア:0)
不思議なことにちょうど新バージョンが出てきたところです。
つい最近も、古い製品向けアップデーターのダウンロードを停止したり(ユーザーによる再配布も禁止ですって)
使用許諾入手サイトを止めたりとかしていますしねぇ
Re: (スコア:0)
ソースコードに感染するウイルスというかワームと言うか、
その手の攻撃手法はすでにあったはず。
Re:やられた>手法的に (スコア:1)
login.c [xight.org] の件とかですかね。ちょっと違うかな…?