パスワードを忘れた? アカウント作成
135240 story
セキュリティ

窓の杜・Vectorでウイルス感染発覚 60

ストーリー by hylom
Delphiユーザーは特にご注意を 部門より

あるAnonymous Coward 曰く、

窓の杜およびVectorでウイルスに感染しているソフトが配布されていたことが確認された(窓の杜の告知ページVectorの告知ページInternet Watchの記事)。

感染が確認されたのはDelphiのライブラリに感染するウイルス「W32/Induc-A」で、このウイルスに感染した状態でDelphiでコンパイルを行うと、汚染されたバイナリを作成する模様。

感染が報告されたソフトは以下のとおり。

  • Vector:
    • PickBack、PickBack2
    • BellTheCat、BOB、Clips、HiG(BeS Tools)、kOSU、OSPE、壱番館
    • Wise Disk Cleaner 4 Free 4、WiseRegistryCleanerFree
  • 窓の杜:
    • Glary Utilities、Glary Undelete

問題となっているウイルスはここ数日で急激に感染が報告されているとのこと。心当たりのあるユーザーはまずはウイルス対策ソフト等でチェックを行って欲しい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ありうべき未来? (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2009年08月24日 16時16分 (#1628222)

    「大変だ!Delphiについで.netのライブラリに感染するウィルスが見つかった。感染の度合いは比べ物にならない」
    「なんてこった。感染した場合どうなるんだ」
    「動作が不安定になって、突然フリーズやリブートをしたり、メモリがいっぱいになって動作が無のすごく遅くなったり、
    いつの間にかファイルが壊れていたり、無くなったりするらしい」
    「・・・・なんだいつもと変わらないじゃないか」
    「・・・・・」

    • by Tatenon (20311) on 2009年08月24日 17時11分 (#1628249) 日記
      最近はめっきり減ったけどねぇ。

      Meがピークだったかな。

      # ・・あれはウイルスじゃなくてOSだ。
      ## しょうがないだろう。元コメそのままだったんだから。
      ### 毎日のように再起動してた頃が遠い昔のようだ。
      親コメント
    • by Anonymous Coward on 2009年08月24日 17時46分 (#1628271)

      パワーポイントが10分間に3回も異常終了したりとか?

      # きょう、メモリ2.5GBのマシンを使いながら、20MBくらいの
      # .pptxファイルを編集していたときに起こった実話です。
      # サイズよりも、エクセルで作ったグラフを何十個も貼り込んだのが
      # いけなかったのでしょうか。。。

      親コメント
      • by Anonymous Coward on 2009年08月24日 19時47分 (#1628321)

        Excel オブジェクトじゃなくて,「形式を選択して貼り付け」で wmf とかの画像として貼り付けるときっと幸せになれるよ.

        # 2007を始めて使ったときは,「形式を選択して貼り付け」がない!なくなった?とか騒いだ記憶がある.

        親コメント
      • by Tsann (15931) on 2009年08月25日 7時16分 (#1628524)

        既にやってるかもしれないけど、
        Excelのグラフは一般的にワークシートのセル上に置かれるけど、それとは別にグラフシートという独立したシート上に置くことも可能です。
        で、PowerPointに貼り付けるときにグラフを含むセルをコピーするのではなく、グラフシートをコピーするといろいろな負荷が減るかな…と思います。

        親コメント
  • by Anonymous Coward on 2009年08月24日 19時56分 (#1628326)

    これ思い出した

    【トロイの木馬】Vocal Cancel5.06【調査費1万円】7
    http://pc12.2ch.net/test/read.cgi/software/1133921632/ [2ch.net]

    #ひろふ元気~?

    • by Anonymous Coward on 2009年08月24日 20時43分 (#1628349)

      リンク先のVectorの告知ページに書いてありますよ。

      上記のソフトをはじめ、現在公開されているソフトはすべて「ウイルスバスター」「ノートンアンチウイルス」「McAfee VirusScan」をはじめとしたスキャナでウイルス検査を行った上で公開しております。
      今回感染が確認されたソフトに関しては、8月17日までに公開したものですが、各ウィルス対策ソフトのパターンが「Induc」に対応したのが8月18日以降であったため、公開時には感染を確認することができませんでした。

      親コメント
      • by adeu (2937) on 2009年08月24日 23時17分 (#1628418)
        社内でもよくいわれるのが「リアルタイムスキャンしているんだから、毎週一回のフルスキャンを止めてよ、重たくて困る」というもの。
        こういう事例・実例はリアルタイムスキャンとスケジュールドフルスキャンがそれぞれ補完するものであり、
        どちらか一方だけで被害を防げるものではないということを例証してくれるのでありがたいですね。
        親コメント
        • by Anonymous Coward

          セキュリティをより重視するなら、
          ファイルを受理してから一定期間掲載を保留して
          ウイルススキャンしてから掲載という形がいいのかな。
          時間的なラグとトレードオフになるけど。

        • by Anonymous Coward

           この事例のベクターは、登録時のみ個別スキャンであり、リアルタイムスキャンやスケジュールドフルスキャンではない。
           なにをもって、例証していると判断したの?

           スケジュールドフルスキャンは個人的にはあまり意味無いと思う。
           潜在的に感染しているファイルの発見や、パターンを更新していない側からコピーされる場合には意味あるが、フルスキャンに必要な時間とCPU負荷を考えると、割に合わない。

          • by Anonymous Coward
            登録時の個別スキャン≒リアルタイムスキャンってことでは?
            登録時≒リアルタイムでは未知で発見できなかったウイルスを発見するために
            フルスキャンが必要。

            という話じゃないでしょうか。
            リアルタイムがまともに動いていれば、後ほど検出するかもしれんでしょうが、
            未知の驚異を通した後でもまともに動いているかどうかはわからないわけで。
            • by Anonymous Coward

               普通のリアルタイムスキャンなら外部に出るときに、検出されるだろ。
               少なくとも今までリアルタイムスキャンを、ファイル受け入れ時のみに
              設定できるソフトは見たこと無い。

               よって、「登録時の個別スキャン≒リアルタイムスキャン」のつもりなら
              用語が間違っているか、誤った認識だと。

              >リアルタイムがまともに動いていれば、後ほど検出するかもしれんでしょうが、
              >未知の驚異を通した後でもまともに動いているかどうかはわからないわけで。

               その理屈はもっともだが、それならフルスキャンもまともに動いているかどうかは
              わからないわけで。

      • サーバ負荷とかはとりあえず置いておきますが
        ダウンロード要求が発生した都度、対象ファイルを最新パターンで
        スキャンする必要がありそうですね。(すでに実施済みなら悪しからず)

        --

        IDENTIFICATION DIVISION.
        AUTHOR YUKI-KUN.
        親コメント
    • by Anonymous Coward
      > #チェック体制すり抜けるような最新のウイルスだったん?

      ウイルス対策ソフトのチェック体制なんてその程度のものですよ。
      ウイルスかどうかなんて、見てみないとわからないし、見つかる前に流通すればPCに入り込むなんて当たり前。
      ウイルス対策ソフトにどんな幻想を抱いているのかな?
  • ちなみにこの件で
    「UPXかけてるから誤検知されるかも。こっちでチェックしてるから気にしないでOK」
    って言ってた作者のソフトは見事に感染してましたとさ。

    エロゲ並のプロテクト付ソフトがウィルス感染してたら、ユーザーはサポートとアンチウィルスソフトのどっちを信じればいいんですかね?
    UPXなら解凍できる(んですよね?)ので自前で元に戻してからスキャン出来るかもしれませんけど。
    • 確かアンチウィルスでもUPX圧縮やDietのような実行ファイル
      圧縮に対応したと表記したのがあったと思いますよ。
      実際は書いて無くてもかなりがが対応しているでしょうけど。

      DIETは昔よく使ったな。
      あれしっかり書かれていないけどDOSのデバイスドライバの
      圧縮も出来るのでWindows98の時には起動ディスクを1枚に
      するのに便利でしたしね。DOSの圧縮も一部のバージョンは出来たし。
      親コメント
    • by Anonymous Coward
      delphiアプリは非常にばかでかいので、
      展開速度を上げるためにUPXをかけることが多いですから・・・
      それが「変なバイナリ」に気付かなかった原因の一つかもですね。
      • by Anonymous Coward

        > 展開速度を上げるためにUPX

        え?何かの冗談ですよね?
        それとも大昔からタイムスリップしてきた方ですか?

  • by Anonymous Coward on 2009年08月24日 16時15分 (#1628221)

    プロトタイプができて実験しようと思ったのか、
    研究用のがうっかり漏れて自然拡大したのか、
    一次放流者の意図はわからないけど不幸中の幸いだったね。

  • by Anonymous Coward on 2009年08月24日 19時43分 (#1628317)
    でも、お高いんでしょう? やっぱり高いな。 [componentsource.co.jp]
    値段分のメリットあるのかなぁ。
    • > お高い

      そりゃー、デルファイの巫女 [allposters.co.jp]といえば、おかたいことで有名だったから。

      と、思ってググったら、こんなの [coocan.jp]でてきた。やっぱり、あやかってネーミングしてるのね。

      #「たかい」じゃないだろ。
      #いや、「かたい」ということは、「たかい」のだ。
      #何かと間違えてないか?

      親コメント
      • Oracle SQL Developerを使ったとき、Delphiとファンクションキー
        の割り当てが似ていて(F9実行とか)ちょっと驚いたのですが、
        Delphiの出自を知って納得したものでした。

        # 10年前、大学生の頃にDelphi3をアカデミックで2万円
        # くらいで買ったのが懐かしいID

        --
        『月面兎兵器ミーナ』2007年1月13日から放送開始
        親コメント
      • by Anonymous Coward
        昔、サーバがSCO UNIX、クライアントがNT3.5、DBがOracleでVisual Basicでプログラムを書いたことがありました。 結局、遅くて使い物にならず、Delphiで書き直したことがあったのを思い出しました。 その後、MSはDelphiの開発者をスカウトしたと聞きました。
        • by Anonymous Coward

          > その後、MSはDelphiの開発者をスカウトしたと聞きました。

          C#と.NET Frameworkを開発し割と受け入れられるようになってきたが、
          その一方ヘルスバーグが抜けたボーランドがどうなったかは…。

        • by Anonymous Coward
          そういえば「これは何だTurboC」の中の人はMSを退社しちゃいましたね
    • by Anonymous Coward
      Delphiって無償版がありましたよね? Delphi 6 Personal。あれ使ってる人、多いんじゃないかなあ。

      バージョン古くても、個人で作るフリーウェア程度なら問題ないでしょうし。

      以前、知人に紹介したら喜ばれたのでAC

  • by Anonymous Coward on 2009年08月25日 0時15分 (#1628440)
    現時点で未知のウィルスもあり得るのだから
    良い機会なので Delphi を含む脆弱性を持つツールで作ったソフトウェアを
    掲載/提供するのは止めたらどうだろうか > vector 窓の森
  • by Anonymous Coward on 2009年08月25日 0時48分 (#1628460)

    不謹慎承知でいうなら「いいアイデア」だと思った。

    最初Delphi狙いのウイルスというと
    「メソッドポインタ用のコード書き換え部分を攻撃されたか?」
    とか思ったんだが、
    もっと素朴というか単純かつ的確で効果的な攻め方だった。

    Delphiは殆どのEdition(大雑把にいえば無料版以外かな)にライブラリ「のソース」が添付している。
    そいつのひとつ…できるだけ根っこの部分の…を何らかの攻撃でもって書き換えてしまえば、今回のようなことが出来てしまうわけだね。

    でさ。これって別にDelphiに限ったことではないよね。
    VisualStudioだろうがgccだろうが、同じ手法は原理的に成り立つし、
    Delphiならではの攻め方をしたわけでもない(のだろう)から、他にも応用がきく。

    さあ。キミの手元のライブラリソースは大丈夫か?

    ああ。別にネイティブコンパイラ系だけじゃなくインタプリタ系も心配だよね。
    Javaの*.classや*.jarもそうだし、rubyのgem(ローカルリポジトリ)だって心配だ。

    しかもだ、発覚するまではツール作者のほうが責められがちになり、
    真の攻撃者は逃げ切る時間的余裕がかなり有るときたもんだ。

    Vectorかどうかなんてのは仔細すぎる問題だ。
    問題は無料ソフトでも自由ソフトでもなく(ましてそれの配布サイトの問題でもなく)「ソフトを作ること」全般への攻撃だ。
    考えてもみろ。
    上記攻撃手法にちょっと一手間くわえて「書き換えコードをLIBにコンパイルするときのオプションをランダム化」してみろ。とたんに凄まじく検出しにくいウイルスになるぞ。なにせ成果物はバイナリパターンにひっかからないんだからな。アプリ(本来の)作者から出てくるソフトを改組する"必要"もないわけだし。作者が気づかないままだといつまでたってもアレなままだ。

    ライブラリのソースもMD5とかで常にチェックしないとならないご時世、ってことかな?

    • Re:やられた>手法的に (スコア:2, すばらしい洞察)

      by taka2 (14791) on 2009年08月25日 12時13分 (#1628676) ホームページ 日記

      今回の問題は、
      ・感染する各PCにライブラリソースが入っていること
      ではなく、
      ・ウィルス作成者がライブラリソースにアクセス可能なため、比較的容易に「トロイ入りのライブラリ」を作成できた
      という点でしょう。

      感染方法として、
      ・インストール済のソースを改変してからライブラリをビルド・上書きする
      という点については、
      > 記攻撃手法にちょっと一手間くわえて「書き換えコードをLIBにコンパイルするときのオプションをランダム化」してみろ
      というところまでやってしまえば、凄い大きな意味がありますが、
      現状では、ライブラリのバイナリに直接感染(差し替え)するプログラムでも、結果は同じです。

      ・コンパイラのバージョンごとに差し替え用ライブラリバイナリを用意しなくてもいい

      という、ウィルス本体のコンパクト化に貢献しているぐらいじゃないでしょうか。

      でも、ライブラリのソースがあると、デバッグ時にライブラリの中にまでトレースできるし、
      ライブラリの挙動については、下手なドキュメントを読むよりソースを見る方がわかりやすいことが多いし、
      ライブラリソースがあるというのは、凄い便利なんですけどね。

      たまにライブラリのバグに対処するのに、自前でパッチ当ててライブラリを作りなおしたりするし。

      親コメント
    • 先日のATL関連の不具合(MS09-034/MS09-035)は VisualStudioのソースともいえるライブラリに脆弱性 [microsoft.com]があったために、特定の関数を使ったプログラムが全て影響を受けるという結果になったんですよね。

      だから、DirectX/OS/MediaPlayer/DHTML/OutLook [microsoft.com]/FlashPlayer [adobe.com]/ShockWavePlayer [adobe.com]/Cisco Utility [cisco.com]などが挙げられていますが、氷山の一角だと思われます。

      これをヒントにウィルスを作ったとか…まさかね。(備考:脆弱性の公開が7/24, ウィルスの確認が8/18)

      過去に類を見ないほど“怖い”脆弱性、MSがパッチを緊急リリース [nikkeibp.co.jp]
      開発ソフトが影響を受ける条件 [microsoft.com]

      そういえば、Vector は前回 フリーソフトのチェックはトレンドマイクロのウィルス対策ソフトだけでやっていて(部門全体には3種類導入してたみたいですが)、パターンファイルの非対応が原因で感染したので確実に3種類のセキュリティソフト通すようにしたみたいですよね。
      うちはセキュリティソフトをすり抜けてくるウィルスが結構あるので定期的に手動でチェックしています。
      これ [livedoor.jp]は、私が実際にやってるチェックの方法の一部。

      # セキュリティソフトで検出できないソフトのほとんどがSpywareやネットゲームの情報読み取りなんだけど何でだろう。

      親コメント
      • zlib とか png とかの方もインパクトは大きかったように思いますが……。
        ATL の脆弱性の件に関しては、この手の「よく使われるライブラリ」に見つかった脆弱性とさほど差があるものとは思えません。

        # 上記 2 つは Windows も使っていますし。

        親コメント
    • by Anonymous Coward
      ソースとコンパイラがあっても、ライブラリが書き換えられなければよいだけでしょ?
      (広い意味での)ライブラリは、作成者以外は改変できない。としておけば今回のような問題は発生しない。

      無茶な話ではなく、.NET で10年前からやってることだ。
    • by Anonymous Coward
      私も同感なのですが、「なぜ今更 Delphi 5~7 をターゲットに?」という疑問が拭えません。Delphi 7 なんて、もう 7 年も前の製品です。.NET 専用環境の Delphi 8 を除けば、2005、2006、2007、2009 と 4 つも新しいバージョンが出ているというのに。

      # Delphi 7 と 2009 を併用しているので AC
      • by Anonymous Coward
        利益を得る者が第一容疑者ですよ。

        不思議なことにちょうど新バージョンが出てきたところです。
        つい最近も、古い製品向けアップデーターのダウンロードを停止したり(ユーザーによる再配布も禁止ですって)
        使用許諾入手サイトを止めたりとかしていますしねぇ
    • by Anonymous Coward
      確固たるソースは失念したが、
      ソースコードに感染するウイルスというかワームと言うか、
      その手の攻撃手法はすでにあったはず。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...