【FUCK Japanese の概要とその修復ツールの解説】(執筆:kei100)
◆編集部より────────────────────────────
8月下旬に登場し被害を与えた、Webを閲覧しただけで感染してしまうウイ ルス「FUCK Japanese」。同ウイルスに対する障害回復ツールをいち早くWeb 上で公開したkei100氏に、同ウイルスの概
特集
特集
8月下旬に登場し被害を与えた、Webを閲覧しただけで感染してしまうウイ ルス「FUCK Japanese」。同ウイルスに対する障害回復ツールをいち早くWeb 上で公開したkei100氏に、同ウイルスの概要および公開した修復ツールにつ いての解説をしていただいた。
はじめまして、障害回復ツールを公開しているkei100と申します。
今回、生まれて初めて原稿を書かせていてただいたのですが、力不足によって一部間違っている場所などがあるかもしれません。この情報が参考になれば幸いです。
◆ 1.「FUCK Japanese」の動作原理
「FUCK Japanese」はMicrosoft VMに存在する既知のセキュリティホールである「Microsoft VM による ActiveX コンポーネントの制御」の脆弱性(MS00-075)を利用して動作します。
Microsoft VMには、本来はスタンドアロンJavaアプリケーションや電子署名されたアプレットだけがActiveXコントロールを作成したり、操作したりすることができる機能が含まれています。その実装に問題があるためにクライアントユーザが操作できる全てのことを悪意の第三者が外部から実行できてしまいます。
「FUCK Japanese」は、呼び出したActiveXコントロールは「Windows Script Host Shell Object」(以下WSH Shellと略)と「FileSystem Object」と
「Windows Script Host Network Object」を呼び出します。実際にはWSH
Shellしか使用していませんでしが、将来的に亜種が使用する可能性もあります。もしかしたら、使用していないオブジェクトが残っていたのは作成者が何処からかコードをコピーしてきたのかもしれません。
◆ 2.「Fuck Japanese」の動作
最初にセキュリティーホールを突いてActiveXコントロールを作成できるか試みます。失敗した場合はそのまま終了しますが、成功した場合は次のステップへと進みます。次にCookieの値を調べていますが、これは2重感染を防ぐためだと思われます。その後WHS Shellを呼び出してレジストリを書き換えCookieにある値を書き込みます。なお、全ての過程でIEからエラーが出ることが無いため、被害を受けたことを気づきにくくなっています。
◆ 3.「FUCK Japanese」に攻撃された後の症状
「FUCK Japanese」はレジストリを操作するだけでファイルそのものは操作しませんので、通常はレジストリの値を書き直すだけで元に戻ります。
しかし、レジストリを書き換えられるとPCがほぼ使用不能状態となるため修復は困難となります。
「FUCK Japanese」が書き換えるレジストリは以下の5つです。
1)ポリシー
2)IEの設定
3)ファイルなどの関連付け
4)自動実行プログラムの変更
5)起動時に表示するメッセージ
以上を書き換えられたことによって起こる症状を順に説明します。
1)ポリシー
「ポリシー」というのは、Windowsが標準で持っている機能で、ユーザーの操作を制限する機能です。
「デスクトップからアイコンが全部消えた」とか「Windowsを通常どおりに終了できない」のはこの機能を利用したためです。決して、ファイルを書き換えられたためになったわけではないのでご安心ください。なお、このポリシーを利用したものとしてNECのPC98-NXシリーズのPCにバンドルされている「Cyber Trio NX」があります。
ご存知ない方に簡単に説明すると、子供にPCを触らせるとき等にPCの設定を変更させなくしたりするソフトです。
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm
修復ツールが公開されているkei100氏のサイト
http://www.geocities.co.jp/SiliconValley-Bay/5474/unfuckjp.html
マイクロソフト
「悪意のある Java スクリプトを実行することに PC が被害を受ける」問題に関する注意事項 お使いの JavaVM のバージョンを確認してください
http://www.microsoft.com/japan/technet/security/javavm.asp
IPA
悪意ある Javaスクリプト実行による被害情報
特定のホームページを見た後、PCが立ち上がらなくなる
http://www.ipa.go.jp/security/ciadr/20010820java_browser.html
関連記事
webを閲覧しただけで感染するウィルスが登場 アプリケーションが利用不能に!(2001.8.20)
https://www.netsecurity.ne.jp/article/8/2657.html
webを閲覧するだけでPCを利用不能にするウイルス NAIが無償修正ソフトを配布開始(2001.8.21)
https://www.netsecurity.ne.jp/article/8/2660.html
「FUCK japanese」感染源のひとつプライスロトが経緯掲載 原因は不明(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2665.html
「FUCK japanese」ウィルス Webを閲覧するだけでPCが起動しなくなる問題、各社対応状況(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2666.html
web見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.23)
https://www.netsecurity.ne.jp/article/8/2669.html
webを閲覧しただけで被害を受ける「FUCK japanese」の最新情報および各社の対応状況(2001.8.23)
https://www.netsecurity.ne.jp/article/8/2671.html
web見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.27)
https://www.netsecurity.ne.jp/article/8/2708.html
《ScanNetSecurity》
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
RoamWiFi R10 に複数の脆弱性
-
富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に
-
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料