【FUCK Japanese の概要とその修復ツールの解説】(執筆:kei100) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)
コンテンツ
注目検索ワード
記事

【FUCK Japanese の概要とその修復ツールの解説】(執筆:kei100)

特集 特集

 ◆編集部より────────────────────────────
  8月下旬に登場し被害を与えた、Webを閲覧しただけで感染してしまうウイ ルス「FUCK Japanese」。同ウイルスに対する障害回復ツールをいち早くWeb 上で公開したkei100氏に、同ウイルスの概要および公開した修復ツールにつ いての解説をしていただいた。


 はじめまして、障害回復ツールを公開しているkei100と申します。
 今回、生まれて初めて原稿を書かせていてただいたのですが、力不足によって一部間違っている場所などがあるかもしれません。この情報が参考になれば幸いです。

◆ 1.「FUCK Japanese」の動作原理
「FUCK Japanese」はMicrosoft VMに存在する既知のセキュリティホールである「Microsoft VM による ActiveX コンポーネントの制御」の脆弱性(MS00-075)を利用して動作します。

 Microsoft VMには、本来はスタンドアロンJavaアプリケーションや電子署名されたアプレットだけがActiveXコントロールを作成したり、操作したりすることができる機能が含まれています。その実装に問題があるためにクライアントユーザが操作できる全てのことを悪意の第三者が外部から実行できてしまいます。
「FUCK Japanese」は、呼び出したActiveXコントロールは「Windows Script Host Shell Object」(以下WSH Shellと略)と「FileSystem Object」と
「Windows Script Host Network Object」を呼び出します。実際にはWSH
Shellしか使用していませんでしが、将来的に亜種が使用する可能性もあります。もしかしたら、使用していないオブジェクトが残っていたのは作成者が何処からかコードをコピーしてきたのかもしれません。

◆ 2.「Fuck Japanese」の動作
 最初にセキュリティーホールを突いてActiveXコントロールを作成できるか試みます。失敗した場合はそのまま終了しますが、成功した場合は次のステップへと進みます。次にCookieの値を調べていますが、これは2重感染を防ぐためだと思われます。その後WHS Shellを呼び出してレジストリを書き換えCookieにある値を書き込みます。なお、全ての過程でIEからエラーが出ることが無いため、被害を受けたことを気づきにくくなっています。

◆ 3.「FUCK Japanese」に攻撃された後の症状
「FUCK Japanese」はレジストリを操作するだけでファイルそのものは操作しませんので、通常はレジストリの値を書き直すだけで元に戻ります。
 しかし、レジストリを書き換えられるとPCがほぼ使用不能状態となるため修復は困難となります。

「FUCK Japanese」が書き換えるレジストリは以下の5つです。

 1)ポリシー
 2)IEの設定
 3)ファイルなどの関連付け
 4)自動実行プログラムの変更
 5)起動時に表示するメッセージ

 以上を書き換えられたことによって起こる症状を順に説明します。

 1)ポリシー
  「ポリシー」というのは、Windowsが標準で持っている機能で、ユーザーの操作を制限する機能です。
 「デスクトップからアイコンが全部消えた」とか「Windowsを通常どおりに終了できない」のはこの機能を利用したためです。決して、ファイルを書き換えられたためになったわけではないのでご安心ください。なお、このポリシーを利用したものとしてNECのPC98-NXシリーズのPCにバンドルされている「Cyber Trio NX」があります。
 ご存知ない方に簡単に説明すると、子供にPCを触らせるとき等にPCの設定を変更させなくしたりするソフトです。

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm


修復ツールが公開されているkei100氏のサイト
http://www.geocities.co.jp/SiliconValley-Bay/5474/unfuckjp.html

マイクロソフト
「悪意のある Java スクリプトを実行することに PC が被害を受ける」問題に関する注意事項 お使いの JavaVM のバージョンを確認してください
http://www.microsoft.com/japan/technet/security/javavm.asp

IPA
悪意ある Javaスクリプト実行による被害情報
特定のホームページを見た後、PCが立ち上がらなくなる
http://www.ipa.go.jp/security/ciadr/20010820java_browser.html


関連記事

webを閲覧しただけで感染するウィルスが登場 アプリケーションが利用不能に!(2001.8.20)
https://www.netsecurity.ne.jp/article/8/2657.html

webを閲覧するだけでPCを利用不能にするウイルス NAIが無償修正ソフトを配布開始(2001.8.21)
https://www.netsecurity.ne.jp/article/8/2660.html

「FUCK japanese」感染源のひとつプライスロトが経緯掲載 原因は不明(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2665.html

「FUCK japanese」ウィルス Webを閲覧するだけでPCが起動しなくなる問題、各社対応状況(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2666.html

web見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.23)
https://www.netsecurity.ne.jp/article/8/2669.html

webを閲覧しただけで被害を受ける「FUCK japanese」の最新情報および各社の対応状況(2001.8.23)
https://www.netsecurity.ne.jp/article/8/2671.html

web見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.27)
https://www.netsecurity.ne.jp/article/8/2708.html


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術) 画像

「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)
「Oracle Java SE」に複数の脆弱性、悪用されるとリモートコード実行も (JPCERT/CC) 画像

「Oracle Java SE」に複数の脆弱性、悪用されるとリモートコード実行も (JPCERT/CC)
「Adobe Flash Player」に脆弱性、海外では標的型攻撃への悪用も確認(JPCERT/CC) 画像

「Adobe Flash Player」に脆弱性、海外では標的型攻撃への悪用も確認(JPCERT/CC)

インシデント・事故 記事一覧へ

「スピードラーニング」のデータをオークション目的でアップロードし逮捕(ACCS) 画像

「スピードラーニング」のデータをオークション目的でアップロードし逮捕(ACCS)
脆弱性を突かれ不正アクセス、番組サイトに投稿した個人情報が流出(TOKYO MX) 画像

脆弱性を突かれ不正アクセス、番組サイトに投稿した個人情報が流出(TOKYO MX)
スーパーフードの通販サイトでカード情報が流出、サイトは停止せず対策(フルッタフルッタ) 画像

スーパーフードの通販サイトでカード情報が流出、サイトは停止せず対策(フルッタフルッタ)

調査・レポート・白書 記事一覧へ

PCのWebカメラで覗き見される脅威は知りつつも、物理的対策は4割に満たず(Avast) 画像

PCのWebカメラで覗き見される脅威は知りつつも、物理的対策は4割に満たず(Avast)
Facebookの“いいね”機能を乗っ取るマルウェアが急増--四半期レポート(マカフィー) 画像

Facebookの“いいね”機能を乗っ取るマルウェアが急増--四半期レポート(マカフィー)
IoT機器への不正アクセスが目的と思われる、MQTTによる探索行為が増加(警察庁) 画像

IoT機器への不正アクセスが目的と思われる、MQTTによる探索行為が増加(警察庁)

研修・セミナー・カンファレンス 記事一覧へ

総務省の「自治体情報システム強靱性向上」、その成果と新たな課題 画像

総務省の「自治体情報システム強靱性向上」、その成果と新たな課題
企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第2回「今求められるSOC、CSIRTの姿とは~世界の攻撃者をOMOTENASHIしないために~」について語る 画像

企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第2回「今求められるSOC、CSIRTの姿とは~世界の攻撃者をOMOTENASHIしないために~」について語る
ラグビー山田選手がJSOCの一日センター長に、情報モラルの親子勉強会も(ラック) 画像

ラグビー山田選手がJSOCの一日センター長に、情報モラルの親子勉強会も(ラック)

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×