不定期でお送りしている本ブログのこのシリーズ。今回はこれまでと少し趣向を変えて、特定の単体のマルウェアではなく「Gumblar攻撃」を取り上げます。最近のマルウェアを利用した攻撃は複数のマルウェアを利用することが多いため、一つのマルウェアの動作を詳細に解析しているだけでは起きていることの全貌を明らかにすることができません。そのため解析エンジニアには、個々のマルウェアを詳細に解析する「虫の目」だけでなく、関連するすべてのマルウェアを俯瞰して全体を見通す「鳥の目」も必要になります。そこで今回は、解析エンジニアの鳥の目で「Gumblar攻撃」を眺めて感じたことをお伝えします。 ■第1段階：Webページの改ざん Gumblar攻撃は、Webページが何らかの方法で改ざんされるところから始まります。これまでに確認されている情報によれば、FTPによってWebコンテンツへの不正アクセスが行なわれているよう

SEP クライアントと SEPM のウイルス定義ファイルの日付が最新版に更新後も 2009/12/31 のままとなっている この文書は英語から翻訳したものです。この文書が翻訳され、発表後に、オリジナルの英語版にアップデートされている可能性があります。Symantecは、翻訳の精度性について保証しません。 状況 Symantec Endpoint Protection (SEP) と Symantec Endpoint Protection Manager (SEPM) の定義ファイルの日付が、2009/12/31 のまま更新されない。 解決策/詳細 以下のシマンテック製品の定義ファイルの日付が、LiveUpdate から 最新版へ更新後も 2009/12/31 rev.xxx と表示されています。 Symantec Endpoint Protection (SEP) 11.x 製品ライン

SEP クライアントと SEPM のウイルス定義ファイルの日付が最新版に更新後も 2009/12/31 のままとなっている この文書は英語から翻訳したものです。この文書が翻訳され、発表後に、オリジナルの英語版にアップデートされている可能性があります。Symantecは、翻訳の精度性について保証しません。 状況 Symantec Endpoint Protection (SEP) と Symantec Endpoint Protection Manager (SEPM) の定義ファイルの日付が、2009/12/31 のまま更新されない。 解決策/詳細 以下のシマンテック製品の定義ファイルの日付が、LiveUpdate から 最新版へ更新後も 2009/12/31 rev.xxx と表示されています。 Symantec Endpoint Protection (SEP) 11.x 製品ライン

| 概要 | チェック結果の出力方法 | チェック結果ファイルの書式 | (解説) チェック結果のファイル出力方法（バージョンチェッカ） 概要 MyJVN バージョンチェッカは、チェック結果をファイルに出力する機能を提供しています。自分が利用するPCのチェックを行う場合には、画面に表示される情報に従ってチェックを行うだけでよく、ファイル出力機能を利用する必要はありません。 ファイル出力機能は、個々の利用者が、自身が利用しているPCのチェック結果をシステム管理者に提出する際に利用することができます。個々の利用者が、画面により対象ソフトウェア製品をバージョンアップした後に、その結果を報告するといった用途に有効です。 システム管理者からみると、画面を用いて出力した結果ファイルは、コマンドラインを用いて出力した結果ファイルと形式が同じため、画面によるチェックとコマンドラインによるチェックをまとめて

DISCLAIMER: These detection rates represent the TRUE POSITIVE detection rates of these various antivirus tools on the limited corpus of malware binaries captures by our honeynet. The results do not take into consideration the false positive rate of a given tool, and thus a tool that declares everything to be infected would appear to have the highest true positive percentage rate. All antivi

米政府のコンピュータセキュリティ対策チームのUS-CERTは21日(現地時間)、Microsoft WindowsのAutoRun機能に関する緊急警告とその対策を発表した。 AutoRun機能などを利用して急拡散を続けている「W32.Downadup」ワームの被害拡大を受け、MicrosoftではRPCの脆弱性を修正するパッチを公開したほか、AutoRun機能を無効にするためのレジストリ修正方法を示している。だがUS-CERTによれば、Microsoftの対策だけでは不完全で、キャッシュされたAutoRun情報を基に被害が拡大する危険性があると警告する。 W32.Downadupは昨年末から1月上旬に急拡大が報告された新種のワームで、WindowsのRPCに関する脆弱性を利用してリモートコードを実行、感染範囲を拡大する。同脆弱性に関してはすでにMicrosoftから対策パッチが出されており

「WindowsのAutorun機能を悪用して感染するマルウェアやワーム対策としてMicrosoftが公開したガイドラインは適切ではない」と米国コンピューター緊急事態対応チーム（US-CERT）が警告している。 日本語の情報としてはマイコミジャーナルが詳しいが、Microsoftは対策としてレジストリを書き換えることでAutorunを無効化する方法を公開しているものの、この方法だけではAutorunを完全には無効化できないとのことだ。詳細についてはUS-CERTの警告を見てほしい。 要は「autorun.infの情報はキャッシュされるから、Microsoftの方法じゃ不十分だよ」ということのようです。US-CERTのレポートには、その解決方法として「レジストリキーの削除」が提案されています。