※この記事にはその後判明した事実に基づく統括情報を公開しております。こちら からご参照ください。
リージョナルトレンドラボは10月24日、マイクロソフト株式会社のServerサービスに存在する脆弱性(MS08-067:CVE-2008-4250)を悪用し、Webサイトから不正プログラムをダウンロードする「WORM_GIMMIV.A(ギミブイ)」と、「WORM_GIMMIV.A」によりダウンロードされ、実被害を及ぼすトロイの木馬型スパイウェア「TSPY_GIMMIV.A」の被害報告を受信いたしました。
※当初本記事中において、「TSPY_GIMMIV.A」自体に脆弱性(MS08-067:CVE-2008-4250)を悪用するかのような表現がありましたが、リージョナルトレンドラボのその後の調査により、「TSPY_GIMMIV.A」自体に脆弱性を悪用するコードが含まれていないことを確認いたしました。
本脆弱性を悪用したワーム型不正プログラム「WORM_GIMMIV.A」の感染活動の一つとして、「TSPY_GIMMIV」がダウンロードされることを確認いたしました。
被害報告は、オランダ、アメリカなど複数の国から寄せられています。
今朝方、マイクロソフト社より深刻度「緊急」にてセキュリティ更新プログラムがリリースされていますが、適用猶予無く、すべての利用者にとって危険性の高い状態であると言えます。
| 攻撃タイプ | ベンダ発表(発表日:2008/10/24) | 脆弱性情報 | |||
| 会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
| 能動 | マイクロソフト株式会社 | 958644 | Server サービスの脆弱性により、リモートでコードが実行される | CVE-2008-4250 | 10.0(危険) |
| トレンドマイクロ製品による脆弱性緩和策 | |||||
| ソリューション | バージョン | 検出名、検出別名(2008/10/24時点) | |||
 |
ウイルスパターンファイル | 5.619.00 | WORM_GIMMIV.A Exploit:Win32/MS08067.gen!A(Microsoft) 「WORM_GIMMIV.A」によりダウンロードされるトロイの木馬型スパイウェア |
||
|
|
ネットワークウイルスパターンファイル | 10269 | ZERO-DAY (MS08-067) EXPLOIT MALWARE | ||
|
|
セキュリティ診断パターンファイル | 091 | MS08-067 | ||
|
|
Webレピュテーション | N/A | 接続ブロック対応済み | ||
攻撃者の狙いは個人情報の取得
「TSPY_GIMMIV」の狙いは、個人情報の取得です。次に挙げる情報の収集活動が確認されています。
- ウイルス対策製品の情報
- Outlook Express 証明書
- オート・コンプリート機能情報(Protected Storage Information)
- システム情報(コンピュータ名/セキュリティ更新プログラムインストール状況/ブラウザ情報)
- ユーザ名とパスワード
収集された情報は暗号化され、「%System%esobs.dat」に集約された後に、「http://{BLOCKED}.{BLOCKED}.145.58/test2.php」へアップロードされます。
「TSPY_GIMMIV」は不正活動を隠密に成功させるため、以下のレジストリキー、エントリを検索し、改変することで、セキュリティ対策製品の停止を行うことを併せて確認しています。
- avp.exe
- SOFTWAREBitDefender
- SOFTWAREJiangmin
- SOFTWAREKasperskyLab
- SOFTWAREKingsoft
- SOFTWAREMicrosoftOneCare Protection
- SOFTWARESymantecPatchInstNIS
- SOFTWARETrendMicro
- SOFTWARErising
「TSPY_GIMMIV」のアップロード先は国内レンタルサーバ
「TSPY_GIMMIV」は以下のウェブサイトにアップロードされていることが確認されています。そのファイル名は連続的な番号が割り振られています。このことから、同一の攻撃者または組織が、あらかじめ複数の亜種を作成し、同時に多数の場所から不正プログラムを送り込もうとする企みが見え隠れしています。連続的な亜種による攻撃は「Webからの脅威」特徴である「シーケンシャル(連続型)攻撃」です。
|
http://{BLOCKED}.{BLOCKED}.145.58/n1.exe http://{BLOCKED}.{BLOCKED}.145.58/n2.exe http://{BLOCKED}.{BLOCKED}.145.58/n3.exe http://{BLOCKED}.{BLOCKED}.145.58/n4.exe http://{BLOCKED}.{BLOCKED}.145.58/n5.exe http://{BLOCKED}.{BLOCKED}.145.58/n6.exe http://{BLOCKED}.{BLOCKED}.145.58/n7.exe http://{BLOCKED}.{BLOCKED}.145.58/n8.exe http://{BLOCKED}.{BLOCKED}.145.58/n9.exe |
不用意なURLクリックによる危険性を回避するため、全角文字にて記載しています。 |
なお、サーバが設置してあると推定される場所は、そのIPアドレスから日本国内のレンタルサーバである可能性が挙げられます。
※リージョナルトレンドラボより、該当レンタルサーバ業者へ連絡を行い、2008/10/24 15:44にウェブサイトの閉鎖についてご連絡いただいています。
今後の攻撃に備えた対策
現時点において、同種のウイルス拡散は拡大傾向を見せていません。しかしながら、今回悪用されたMS08-067の脆弱性は、「ネットワークに接続しているだけで感染する」タイプの不正プログラムが作成可能な脆弱性であるため、引き続きの警戒が必要であると分析しています。
また現時点で国内からの感染報告はなきものの、日本語環境においても有効な脆弱性である点も併せて警戒すべきポイントとして挙げます。
セキュリティ更新プログラムがリリースされているものの、直ちにバージョンアップ作業が困難な場合もあります。このような場合、セキュリティ対策製品による緩和策を施すことが有効です。トレンドマイクロでは、一連の攻撃脅威から保護する技術を既に投入しています。
先の記載にもあるとおり、悪意ある実行ファイルは「WORM_GIMMIV」/「TSPY_GIMMIV」ファミリとしてウイルスパターンファイルにより、その検出に対応しています。また、「Webレピュテーション」を利用することにより、当該サイトを悪意あるページとしてその接続を拒否する機能を提供しています。
セキュリティ対策製品を上手く活用し、リスク回避を行ってください。
■Webレピュテーションの搭載製品
|
関連情報
* 参考情報1. Trend Micro Security Blog「そのとき何が、「WORM_DOWNAD」ファミリの振り返り」
* 参考情報2. Trend Micro Security Blog「脆弱性 (MS08-067:CVE-2008-4250)を悪用したハッキングツールを確認」
* 参考情報3. Trend Micro Security Blog「Microsoft Server サービスの脆弱性 (MS08-067)を悪用した脅威」
【訂正と追記】
| 2008/10/30 | 18:04 | セキュリティ診断パターンファイルのリリース情報を追記いたしました。 |
| 2008/10/27 | 17:19 | ネットワークウイルスパターンファイルのリリース情報を追記いたしました。 |
| 2008/10/25 | 13:52 | CVSSスコア値を追記いたしました。 |
| 2008/10/25 | 00:42 | 脆弱性(MS08-067:CVE-2008-4250)を悪用し、「TSPY_GIMMIV.A」をダウンロードする不正プログラムが「WORM_GIMMIV.A」であることを追記いたしました。 |
| 2008/10/24 | 16:18 | その後の調査により、「TSPY_GIMMIV.A」自体に脆弱性(MS08-067:CVE-2008-4250)を悪用するコードが含まれていないことを確認し、その旨を追記いたしました。 2008/10/24 15:44に「TSPY_GIMMIV」ファミリがアップロードされたウェブサイトが閉鎖されたことを追記いたしました。 |
| 2008/10/24 | 15:28 | 記事タイトルから「「TSPY_GIMMIV」の」文字列を削除いたしました。 |