【FUCK Japanese の概要とその修復ツールの解説】(執筆:kei100) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

【FUCK Japanese の概要とその修復ツールの解説】(執筆:kei100)

特集 特集

 ◆編集部より────────────────────────────
  8月下旬に登場し被害を与えた、Webを閲覧しただけで感染してしまうウイ ルス「FUCK Japanese」。同ウイルスに対する障害回復ツールをいち早くWeb 上で公開したkei100氏に、同ウイルスの概要および公開した修復ツールにつ いての解説をしていただいた。


 はじめまして、障害回復ツールを公開しているkei100と申します。
 今回、生まれて初めて原稿を書かせていてただいたのですが、力不足によって一部間違っている場所などがあるかもしれません。この情報が参考になれば幸いです。

◆ 1.「FUCK Japanese」の動作原理
「FUCK Japanese」はMicrosoft VMに存在する既知のセキュリティホールである「Microsoft VM による ActiveX コンポーネントの制御」の脆弱性(MS00-075)を利用して動作します。

 Microsoft VMには、本来はスタンドアロンJavaアプリケーションや電子署名されたアプレットだけがActiveXコントロールを作成したり、操作したりすることができる機能が含まれています。その実装に問題があるためにクライアントユーザが操作できる全てのことを悪意の第三者が外部から実行できてしまいます。
「FUCK Japanese」は、呼び出したActiveXコントロールは「Windows Script Host Shell Object」(以下WSH Shellと略)と「FileSystem Object」と
「Windows Script Host Network Object」を呼び出します。実際にはWSH
Shellしか使用していませんでしが、将来的に亜種が使用する可能性もあります。もしかしたら、使用していないオブジェクトが残っていたのは作成者が何処からかコードをコピーしてきたのかもしれません。

◆ 2.「Fuck Japanese」の動作
 最初にセキュリティーホールを突いてActiveXコントロールを作成できるか試みます。失敗した場合はそのまま終了しますが、成功した場合は次のステップへと進みます。次にCookieの値を調べていますが、これは2重感染を防ぐためだと思われます。その後WHS Shellを呼び出してレジストリを書き換えCookieにある値を書き込みます。なお、全ての過程でIEからエラーが出ることが無いため、被害を受けたことを気づきにくくなっています。

◆ 3.「FUCK Japanese」に攻撃された後の症状
「FUCK Japanese」はレジストリを操作するだけでファイルそのものは操作しませんので、通常はレジストリの値を書き直すだけで元に戻ります。
 しかし、レジストリを書き換えられるとPCがほぼ使用不能状態となるため修復は困難となります。

「FUCK Japanese」が書き換えるレジストリは以下の5つです。

 1)ポリシー
 2)IEの設定
 3)ファイルなどの関連付け
 4)自動実行プログラムの変更
 5)起動時に表示するメッセージ

 以上を書き換えられたことによって起こる症状を順に説明します。

 1)ポリシー
  「ポリシー」というのは、Windowsが標準で持っている機能で、ユーザーの操作を制限する機能です。
 「デスクトップからアイコンが全部消えた」とか「Windowsを通常どおりに終了できない」のはこの機能を利用したためです。決して、ファイルを書き換えられたためになったわけではないのでご安心ください。なお、このポリシーを利用したものとしてNECのPC98-NXシリーズのPCにバンドルされている「Cyber Trio NX」があります。
 ご存知ない方に簡単に説明すると、子供にPCを触らせるとき等にPCの設定を変更させなくしたりするソフトです。

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm


修復ツールが公開されているkei100氏のサイト
http://www.geocities.co.jp/SiliconValley-Bay/5474/unfuckjp.html

マイクロソフト
「悪意のある Java スクリプトを実行することに PC が被害を受ける」問題に関する注意事項 お使いの JavaVM のバージョンを確認してください
http://www.microsoft.com/japan/technet/security/javavm.asp

IPA
悪意ある Javaスクリプト実行による被害情報
特定のホームページを見た後、PCが立ち上がらなくなる
http://www.ipa.go.jp/security/ciadr/20010820java_browser.html


関連記事

webを閲覧しただけで感染するウィルスが登場 アプリケーションが利用不能に!(2001.8.20)
https://www.netsecurity.ne.jp/article/8/2657.html

webを閲覧するだけでPCを利用不能にするウイルス NAIが無償修正ソフトを配布開始(2001.8.21)
https://www.netsecurity.ne.jp/article/8/2660.html

「FUCK japanese」感染源のひとつプライスロトが経緯掲載 原因は不明(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2665.html

「FUCK japanese」ウィルス Webを閲覧するだけでPCが起動しなくなる問題、各社対応状況(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2666.html

web見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.23)
https://www.netsecurity.ne.jp/article/8/2669.html

webを閲覧しただけで被害を受ける「FUCK japanese」の最新情報および各社の対応状況(2001.8.23)
https://www.netsecurity.ne.jp/article/8/2671.html

web見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.27)
https://www.netsecurity.ne.jp/article/8/2708.html


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×