【FUCK Japanese の概要とその修復ツールの解説】(執筆:kei100) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.20(日)
コンテンツ
注目検索ワード
記事

【FUCK Japanese の概要とその修復ツールの解説】(執筆:kei100)

特集 特集

 ◆編集部より────────────────────────────
  8月下旬に登場し被害を与えた、Webを閲覧しただけで感染してしまうウイ ルス「FUCK Japanese」。同ウイルスに対する障害回復ツールをいち早くWeb 上で公開したkei100氏に、同ウイルスの概要および公開した修復ツールにつ いての解説をしていただいた。


 はじめまして、障害回復ツールを公開しているkei100と申します。
 今回、生まれて初めて原稿を書かせていてただいたのですが、力不足によって一部間違っている場所などがあるかもしれません。この情報が参考になれば幸いです。

◆ 1.「FUCK Japanese」の動作原理
「FUCK Japanese」はMicrosoft VMに存在する既知のセキュリティホールである「Microsoft VM による ActiveX コンポーネントの制御」の脆弱性(MS00-075)を利用して動作します。

 Microsoft VMには、本来はスタンドアロンJavaアプリケーションや電子署名されたアプレットだけがActiveXコントロールを作成したり、操作したりすることができる機能が含まれています。その実装に問題があるためにクライアントユーザが操作できる全てのことを悪意の第三者が外部から実行できてしまいます。
「FUCK Japanese」は、呼び出したActiveXコントロールは「Windows Script Host Shell Object」(以下WSH Shellと略)と「FileSystem Object」と
「Windows Script Host Network Object」を呼び出します。実際にはWSH
Shellしか使用していませんでしが、将来的に亜種が使用する可能性もあります。もしかしたら、使用していないオブジェクトが残っていたのは作成者が何処からかコードをコピーしてきたのかもしれません。

◆ 2.「Fuck Japanese」の動作
 最初にセキュリティーホールを突いてActiveXコントロールを作成できるか試みます。失敗した場合はそのまま終了しますが、成功した場合は次のステップへと進みます。次にCookieの値を調べていますが、これは2重感染を防ぐためだと思われます。その後WHS Shellを呼び出してレジストリを書き換えCookieにある値を書き込みます。なお、全ての過程でIEからエラーが出ることが無いため、被害を受けたことを気づきにくくなっています。

◆ 3.「FUCK Japanese」に攻撃された後の症状
「FUCK Japanese」はレジストリを操作するだけでファイルそのものは操作しませんので、通常はレジストリの値を書き直すだけで元に戻ります。
 しかし、レジストリを書き換えられるとPCがほぼ使用不能状態となるため修復は困難となります。

「FUCK Japanese」が書き換えるレジストリは以下の5つです。

 1)ポリシー
 2)IEの設定
 3)ファイルなどの関連付け
 4)自動実行プログラムの変更
 5)起動時に表示するメッセージ

 以上を書き換えられたことによって起こる症状を順に説明します。

 1)ポリシー
  「ポリシー」というのは、Windowsが標準で持っている機能で、ユーザーの操作を制限する機能です。
 「デスクトップからアイコンが全部消えた」とか「Windowsを通常どおりに終了できない」のはこの機能を利用したためです。決して、ファイルを書き換えられたためになったわけではないのでご安心ください。なお、このポリシーを利用したものとしてNECのPC98-NXシリーズのPCにバンドルされている「Cyber Trio NX」があります。
 ご存知ない方に簡単に説明すると、子供にPCを触らせるとき等にPCの設定を変更させなくしたりするソフトです。

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm


修復ツールが公開されているkei100氏のサイト
http://www.geocities.co.jp/SiliconValley-Bay/5474/unfuckjp.html

マイクロソフト
「悪意のある Java スクリプトを実行することに PC が被害を受ける」問題に関する注意事項 お使いの JavaVM のバージョンを確認してください
http://www.microsoft.com/japan/technet/security/javavm.asp

IPA
悪意ある Javaスクリプト実行による被害情報
特定のホームページを見た後、PCが立ち上がらなくなる
http://www.ipa.go.jp/security/ciadr/20010820java_browser.html


関連記事

webを閲覧しただけで感染するウィルスが登場 アプリケーションが利用不能に!(2001.8.20)
https://www.netsecurity.ne.jp/article/8/2657.html

webを閲覧するだけでPCを利用不能にするウイルス NAIが無償修正ソフトを配布開始(2001.8.21)
https://www.netsecurity.ne.jp/article/8/2660.html

「FUCK japanese」感染源のひとつプライスロトが経緯掲載 原因は不明(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2665.html

「FUCK japanese」ウィルス Webを閲覧するだけでPCが起動しなくなる問題、各社対応状況(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2666.html

web見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.23)
https://www.netsecurity.ne.jp/article/8/2669.html

webを閲覧しただけで被害を受ける「FUCK japanese」の最新情報および各社の対応状況(2001.8.23)
https://www.netsecurity.ne.jp/article/8/2671.html

web見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.27)
https://www.netsecurity.ne.jp/article/8/2708.html


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN) 画像

「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN)
Apacheが「Tomcat」の複数の脆弱性を解消するアップデート、適用を呼びかけ(JVN) 画像

Apacheが「Tomcat」の複数の脆弱性を解消するアップデート、適用を呼びかけ(JVN)
TwitterでNintendo Switchの購入希望者を狙った詐欺が横行 画像

TwitterでNintendo Switchの購入希望者を狙った詐欺が横行

インシデント・事故 記事一覧へ

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン) 画像

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)
小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市) 画像

小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)
「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス) 画像

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

調査・レポート・白書 記事一覧へ

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10) 画像

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10)
「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー) 画像

「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー)
IoT機器の遠隔操作を狙う通信が1年で6.4倍に増加--年次レポート(NRIセキュア) 画像

IoT機器の遠隔操作を狙う通信が1年で6.4倍に増加--年次レポート(NRIセキュア)

研修・セミナー・カンファレンス 記事一覧へ

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation) 画像

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)
コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱 画像

コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱
これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶 画像

これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×