livedoor
この内容は当然ノーサポートです。こういう情報もあるよ、ということです。
SANSの記事によると、InternetExplorerで問題になる画像を閲覧した場合、特に何かをクリックしたりという操作をしなくても感染の引き金になるらしい。Firefox最新版では閲覧時に警告が表示される。(これは設定で変更できる部分なので注意が必要だろう。)いずれにしても安全性は程度問題だということ。影響をうけるのはWindows 2000, Windows XP(SP1 and SP2)、Windows 2003。
影響をうけるのはWindow3.0以降?。参照F-Secure : News from the Lab - It's not a bug, it's a feature -
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System
Microsoftはまだ有効なパッチなどの対策を出していない。上記リンク先のサイトでは非公式のパッチを配布している。
また配布元Hex blogでは暗号化されたファイルやmsiも入手可能。
また関連するDLLを下記の方法で無効にすることで対策ができる。
※翻訳に誤りがある可能性があるので必ず原文にあたること!
自信が無い人は詳しい人に見てもらってください。
・「スタート」→「ファイル名を指定して実行」をクリック。
・「名前」欄に"regsvr32 -u %windir%\system32\shimgvw.dll" を引用符抜きで入力。
・「OK」をクリック
・unregisterが成功した下記のダイアログが表示されるので「OK」をクリック。
リンク元のサイトでは非公式パッチの適用と関連DLLの無効化の両方を行うことを推奨している。
追記:SGアンチスパイで検出しました。ただし対策後にテストリンクを踏んだのでリアルタイムで検出するかはさだかではありません、念のため。
下記の【元に戻す方法】でノーガードにして再テスト。結果、Firefoxだと明示的に検出してくれます。
IEでは電卓やメモ帳なんかは出ないけど実際どうなのか不明。その後詳細スキャンをするとちゃんと検出してくれました。
えっと上記のSGアンチスパイですが、IEの場合はこれだけじゃ全然ダメぽです。Firefoxの場合も何らかのプログラムで実行してしまった場合は無力です。どうも仕様上の問題で、インターネット一時ファイルからの直接実行に反応できない模様です。Firefoxなどの保存するかどうするか聞いてくるブラウザだと保存する瞬間に捕獲してくれます。ごめんなさい。どうもおかしいと思ってシステムの復元で対策前まで完全に戻して再テストしたところ上記の結果になりました。
ちなみにテストはあんりみてっどさんのところにあったやつで行ってます。
【元に戻す方法】
無効化したDLLを再度有効にしたい場合は、「プログラムの追加と削除」から、「Windows WMF Metafile Vulnerability HotFix 1.1」を削除してから、
「ファイル名を指定して実行」で、
"regsvr32 %windir%\system32\shimgvw.dll"
を引用符無しで入力、「OK」で。
有効化が上手くいかない場合は、「windir」以下の%をバックスラッシュにしてみると吉。
Microsoftから公式にパッチが配布されたらパッチの適用前に上記の方法でノーガードに戻す必要が多分あると思われます。
詳細は配布元のHex blog参照。
さらにさらに追記
情報の後出しっぽくて申し訳ない。
http://itpro.nikkeibp.co.jp/article/NEWS/20051231/226841/
で該当するDLLの削除またはリネームで無効にする、ってあるんだけど、削除したりリネームしただけだと再起動で復旧しちゃうのよ。SANSのFAQにもあるように、Windows File Protectionを無効にしないと意味が無い。非公式パッチ+DLL無効化、がやはり現状ベスト。戻すのが面倒な場合は対策ソフトまかせになってしまうけどどの対策ソフトも万能じゃない。設定によっては全く効力がないこともある。穴は塞ぐに限る。
何か間違い勘違いがありましたらコメント欄にてご指摘ください。情報は共有してなんぼです。
SANSの記事によると、InternetExplorerで問題になる画像を閲覧した場合、特に何かをクリックしたりという操作をしなくても感染の引き金になるらしい。Firefox最新版では閲覧時に警告が表示される。(これは設定で変更できる部分なので注意が必要だろう。)いずれにしても安全性は程度問題だということ。
影響をうけるのはWindow3.0以降?。参照F-Secure : News from the Lab - It's not a bug, it's a feature -
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System
Microsoft has not yet released a patch. An unofficial patch was made available by Ilfak Guilfanov. Our own Tom Liston reviewed the patch and we tested it. The reviewed and tested version is available here (MD5: 99b27206824d9f128af6aa1cc2ad05bc). THANKS to Ilfak Guilfanov for providing the patch!!
Microsoftはまだ有効なパッチなどの対策を出していない。上記リンク先のサイトでは非公式のパッチを配布している。
また配布元Hex blogでは暗号化されたファイルやmsiも入手可能。
また関連するDLLを下記の方法で無効にすることで対策ができる。
※翻訳に誤りがある可能性があるので必ず原文にあたること!
自信が無い人は詳しい人に見てもらってください。
・「スタート」→「ファイル名を指定して実行」をクリック。
・「名前」欄に"regsvr32 -u %windir%\system32\shimgvw.dll" を引用符抜きで入力。
・「OK」をクリック
・unregisterが成功した下記のダイアログが表示されるので「OK」をクリック。
リンク元のサイトでは非公式パッチの適用と関連DLLの無効化の両方を行うことを推奨している。
追記:
えっと上記のSGアンチスパイですが、IEの場合はこれだけじゃ全然ダメぽです。Firefoxの場合も何らかのプログラムで実行してしまった場合は無力です。どうも仕様上の問題で、インターネット一時ファイルからの直接実行に反応できない模様です。Firefoxなどの保存するかどうするか聞いてくるブラウザだと保存する瞬間に捕獲してくれます。ごめんなさい。どうもおかしいと思ってシステムの復元で対策前まで完全に戻して再テストしたところ上記の結果になりました。
ちなみにテストはあんりみてっどさんのところにあったやつで行ってます。
【元に戻す方法】
無効化したDLLを再度有効にしたい場合は、「プログラムの追加と削除」から、「Windows WMF Metafile Vulnerability HotFix 1.1」を削除してから、
「ファイル名を指定して実行」で、
"regsvr32 %windir%\system32\shimgvw.dll"
を引用符無しで入力、「OK」で。
有効化が上手くいかない場合は、「windir」以下の%をバックスラッシュにしてみると吉。
Microsoftから公式にパッチが配布されたらパッチの適用前に上記の方法でノーガードに戻す必要が多分あると思われます。
詳細は配布元のHex blog参照。
さらにさらに追記
情報の後出しっぽくて申し訳ない。
http://itpro.nikkeibp.co.jp/article/NEWS/20051231/226841/
で該当するDLLの削除またはリネームで無効にする、ってあるんだけど、削除したりリネームしただけだと再起動で復旧しちゃうのよ。SANSのFAQにもあるように、Windows File Protectionを無効にしないと意味が無い。非公式パッチ+DLL無効化、がやはり現状ベスト。戻すのが面倒な場合は対策ソフトまかせになってしまうけどどの対策ソフトも万能じゃない。設定によっては全く効力がないこともある。穴は塞ぐに限る。
何か間違い勘違いがありましたらコメント欄にてご指摘ください。情報は共有してなんぼです。
>> jpnpatch2005 さん
