特に重要なセキュリティ欠陥・ウイルス情報

2009.01.27 現在、一部の研究室において Windows PC へのコンピュータウイルスの感染が確認されています。何らかの経路から感染後、USB メモリなどを通じて感染が広がっているようです。現在対応作業中です。

龍大標準のアンチウイルスソフト、マカフィー VirusScan Enterprise (VSE) は、最新のウイルス定義ファイル DAT5507 においても対応できていません (Extra.dat により一部には対応済。後述)。ここで解説されているウイルスと同種のものと考えられます。手元で採取した検体と各種アンチウイルスソフトの検出状況は以下のとおりです。

• a81lkgv.com
• autorun.inf
• ierdfgh.exe
• pytdfse0.dll
• pytdfse1.dll

実際のウイルスのファイル名は上記とは異なる場合があります。

対応手順

現時点では、次の手順で対応を行っています。

1. ウイルスファイルの存在は隠蔽されていますが、コマンドプロンプト (cmd.exe) から dir /a C:\ や dir /a C:\WINDOWS\system32 などと実行することで確認できます。
2. ネットワークに接続したままだと、ウイルスがネットワークを経由してアップデートしてしまいます。ネットワークケーブルを抜くなどして、物理的に切断します。
3. システムの復元を無効に設定します。
4. ウイルスは、Windows 起動時に自動的に起動されるよう、レジストリ HKCU\Software\Microsoft\Windows\CurrentVersion\Run に自身を登録しています。これを削除します。
   自動起動用のレジストリを削除するには、sysinternals の autoruns コマンドを使用すると容易です。autoruns を起動し、[Logon] タブの HKCU\Software\Microsoft\Windows\CurrentVersion\Run の項に注目します。あやしい項目についてチェックを外します。autoruns コマンドは、RINS で配布している「セキュリティ CD」の tools\sysinternals ディレクトリにも含まれています。
5. ウイルスをできるだけ削除しておきます。隠蔽されているファイルは、コマンドプロンプトから attrib -S -H -R pytdfse1.dll のように実行すれば隠蔽を解除できます。その後 del コマンドで削除します。削除できない場合は、ren コマンドを ren pytdfse1.dll pytdfse1.dll.hoge のように使ってウイルスファイルの名前を変更します。この段階ではうまく削除できないファイルも少なくないので、あまり神経質にならなくてもよいです。
   典型的なウイルスファイル名を後述しています。
6. 再起動します。
7. 削除できていなかったファイルを削除します。削除できるまで、手順 4〜7 を繰り返します。
8. USB などのメディアからの再感染を避けるため、autorun.inf の無効化設定を行います。autorunstop.bat をダウンロードして実行します。ダウンロード後のファイルの拡張子が .bat になっていることを確認してください。この設定を行うと、メディア挿入時の自動実行機能が働かなくなりますので注意してください。
   なお、よりセキュリティを高めるための設定: 自動再生を無効にする で述べている方法ではうまくいかない場合があるそうで、近日改定を予定しています。
9. Explorer 関連のレジストリ設定をウイルスが改変しています。修正するために、fix-showall.reg をダブルクリックして適用します。適用後、よりセキュリティを高めるための設定: エクスプローラ を実施します。
10. マカフィー VSE を利用していた場合、ウイルス感染によって改変され挙動がおかしくなっている場合が多いです。 ウイルス定義ファイルの更新が正常になされていないなどの挙動が見られる場合には、再インストールすることを推奨します。マカフィー VirusScan 関連ドキュメント を参照。
11. USB などのメディアに付着したウイルスを削除します。上記と同様、コマンドプロンプトから attrib コマンドと del コマンドを使って実施してください。

終ったら、システムの復元とネットワークを元に戻します。

「セキュリティ CD」は RINS の部屋 (瀬田 1 号館 443 室) で配布しています。

典型的なウイルスファイル名を以下に示します。これで全てではないので注意してください。

VSE で この Extra.dat を使うと、上記ウイルスのうち a81lkgv.com と ierdfgh.exe を検出できるようになります。Extra.dat の利用方法については以下を参照してください。

• VirusScan Enterprise 8.5 のExtra.dat ファイルの手動適用方法 (マカフィー)。VSE 8.7i の場合も同様に実施してください。
• VirusScan Enterprise 7.x / 8.0 のExtra.dat ファイルの手動適用方法 (マカフィー)

上記リンクに記載された方法がよくわからない場合は、次のようにしてください。

1. Extra.dat をコピーします。
   • C:\Program Files\Common Files\McAfee\Engine に (VSE 8.7i / 8.5i)
   • C:\Program Files\Common Files\Network Associates\Engine に (VSE 8.0i)
2. 再起動します。

全般的な対応・予防

Windows で「アンチウイルスソフトをインストールしていない」は論外です。何らかのアンチウイルスソフトをインストールしてください。VSE の場合は、8.5i または 8.7i の利用を推奨します。ただし、今回の事例でもわかるように、アンチウイルスソフトをインストールしておけば安心、というわけではありません。

autorunstop.bat を実行し、autorun.inf を無効化することを推奨します。

RINS で配布している「セキュリティ CD」にも含まれている StartupMonitor のようなツールをインストールしておき、起動項目の追加・変更を確認するのは効果的です。

Windows やアプリケーションのセキュリティ上の欠陥を突いて侵入するウイルスも存在します。セキュリティ修正プログラムを適用したり、最新版に更新したりして、セキュリティ上の欠陥を無くしてください。具体的には以下を実行してください。

• Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。
• アプリケーションを最新版に更新してください。特に狙われやすいのは：
  • Microsoft Office (最新: Office 2007)。Office Update または Microsfot Update を使ってセキュリティ修正プログラムを適用できます。
  • Adobe Reader / Adobe Acrobat (最新: バージョン 9)
  • Flash Player (最新: バージョン 10)
  • QuickTime (最新: バージョン 7.6)

関連キーワード: VirusScan

2009.01.28 追記

最新のウイルス定義ファイル DAT5508 において、上記検体のうち a81lkgv.com と ierdfgh.exe には対応されました。また、この Extra.dat を使うと pytdfse0.dllと pytdfse1.dll にも対応されます。

• DAT5508 へ更新されていることを確認してください。更新されていない場合は、タスクトレイのシールドアイコンを右クリックして「今すぐアップデート」を選択してください。
• この Extra.dat を適用してください。適用方法については上記を参照してください。

ウイルスに感染した Windows PC を調査したところ、以下の特徴がありました。

• ウイルス定義ファイルのバージョンが古い。また、アップデートを実行しても、アップデートに成功したような表示がされるものの、ウイルス定義ファイルのバージョンが古いまま。(ウイルスによって、定義ファイル更新機構を破壊されている)
• Windows のセキュリティ修正ファイルが全く適用されておらず、セキュリティ欠陥を突くような攻撃に対して全く脆弱。

アンチウイルスソフトにおいて、ウイルス定義ファイルが正常に更新されていることを確認してください。また、毎月第 2 火曜日 (米国時間) には Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。

2009.01.29 追記

最新のウイルス定義ファイル DAT5509 において、上記の全ての検体に対応されました。Extra.dat はもう必要ありません。

2009.02.04 追記

一連の作業の中で収集した検体の中に、VSE では検出できないものがいくつかありましたが、最新のウイルス定義ファイル DAT5515 において対応されました。

典型的なウイルスファイル名を追記しました。

autorunstop.bat はローカルに配布するよう、リンク先を変更しました。(Luca さん多謝)

龍大標準のアンチウイルスソフト VirusScan Enterprise の最新バージョン 8.7i が登場しています。

• VirusScan Enterprise 8.7i / 8.5i / 8.0i が対応している OS について (学内からのみ閲覧可)
• マカフィー VirusScan Enterprise 8.7i (学内からのみ閲覧可)

VirusScan Enterprise 8.7i は Windows NT 4.0 には対応していないので注意してください。

インストールにあたって、注意点が 3 つあります。

• あらかじめ旧バージョンの VirusScan Enterprise をアンインストールしてください。RINS において、VSE 8.5i をアンインストールしないまま VSE 8.7i インストールしてみたところ、一見正常にインストールできたように見えるものの、実際にはインストールが不完全となり、さまざまな不具合が発生しました。
• 自動アップデートの設定において RINS 独自の学内向けリポジトリを紹介していますが、8.5i までの RINSftp (anonymous FTP サーバ) にかわって RINShttp (web サーバ) を紹介しています。anonymous FTP サーバを利用する場合、ウイルス定義ファイルの更新に時間がかかることがあるためです。
• 自動アップデートの設定において、明示的にプロキシを設定するように、マニュアルを変更しました。規定値のまま（「Internet Explorer のプロキシ設定を利用」) にすると、ウイルス定義ファイルを更新できない場合があるためです。

なお、前々バージョンである VirusScan Enterprise 8.0i は今年末 (2009.12.31) にサポートが終了します。8.0i 利用者は、今年中に 8.7i あるいは 8.5i にアップグレードしてください。

関連キーワード: VirusScan

2009.02.12 追記

VirusScan Enterprise 8.7i (VSE 8.7i) をインストールしようとすると、一部の環境で失敗することが明らかとなっています。主な原因としては、VSE 8.7i に同梱されている McAfee Agent 4.0 の不具合があると考えられます。

不具合を回避するには「2Byteを含まず且つ権限を持ったユーザでログインしなおして再度インストールを実行して下さい」とされていますが、実際に試した限りでは、IME を off にして作成した英文字のみのユーザ名の管理者アカウントで再度インストールを実行しても、失敗する場合がありました。

VSE 8.7i をインストールする際には、組込の管理者アカウントである Administrator ユーザの利用を推奨します。Windows XP や Vista の初期状態では Administrator ユーザは無効になっていますが、次の方法で有効にできます。

• XPに「Administrator」でログオンする (日経 BP)
• Windows Vista で Administrator を有効にしたい (pasofaq.jp)

しかし Windows XP Home Edition では、Administrator としてログオンできるのはセーフモードだけです。VSE 8.7i のインストールは Windows インストーラを使用するのですが、セーフモードでは Windows インストーラサービスが停止してしまうため、そのままではインストールできません。これを回避するには、セーフモードで Windows インストーラ サービスを利用できるようにする方法 (pasofaq.jp) を参照してください。

「あらかじめ McAfee Agent 4.0 Patch 1 をインストールしておけば、この不具合を回避できる」との情報も得ていますが、RINS ではまだ確認できていません。

龍大標準のアンチウイルスソフト VirusScan Enterprise の最新版は 8.7i です。

前々バージョンである VirusScan Enterprise 8.0i は今年末 (2009.12.31) にサポートが終了します。8.0i 利用者は、今年中に最新版の 8.7i、あるいは前バージョンである 8.5i にアップグレードしてください。

また、VirusScan Enterprise 8.0i / 8.5i における Windows NT 4.0 のサポートも今年末 (2009.12.31) に終了します。いまだに Windows NT 4.0 を利用している場合は、OS のアップグレードを含めた対応を早急に検討してください。

何らかの理由でどうしても VirusScan Enterprise 8.0i を使い続けなければならない場合は、VirusScan Enterprise に同梱されている Common Management Agent をアップグレードする必要があります。詳細については、こちらの「重要なおしらせ」を参照してください (学内からのみ閲覧可)。アップグレードしないと、2009.02.03 以降、ウイルス定義ファイルの更新ができなくなる可能性があります。

関連キーワード: VirusScan

龍大標準のアンチウイルスソフト VirusScan Enterprise の前バージョン 8.5i の最新 patch である patch 7 が登場しています。

• VirusScan Enterprise 8.7i / 8.5i / 8.0i が対応している OS について (RINS)
• VirusScan Enterprise 8.5i patch インストール方法 (RINS)

VirusScan Enterprise 8.5i を利用している場合は、patch 7 を適用してください。

なお、前々バージョンである VirusScan Enterprise 8.0i は今年末 (2009.12.31) にサポートが終了します。8.0i 利用者は、今年中に 8.7i あるいは 8.5i にアップグレードしてください。

関連キーワード: VirusScan

Microsoft から 2009 年 1 月の月例セキュリティ修正プログラムが公開されました。

• Microsoft 2009 年 1 月のセキュリティ情報 (Microsoft)

新たに公開されたセキュリティ修正は次の 1 種類です。

• MS09-001 - 緊急: SMB の脆弱性により、リモートでコードが実行される (958687)
  対象: Windows 2000 / XP / Server 2003 / Vista / Server 2008

Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

RINS の複数の機械に修正プログラムをインストールしてみましたが、特に問題は発生していません。

関連キーワード: Windows