◆編集部より──────────────────────────── 8月下旬に登場し被害を与えた、Webを閲覧しただけで感染してしまうウイ ルス「FUCK Japanese」。同ウイルスに対する障害回復ツールをいち早くWeb 上で公開したkei100氏に、同ウイルスの概要および公開した修復ツールにつ いての解説をしていただいた。 はじめまして、障害回復ツールを公開しているkei100と申します。 今回、生まれて初めて原稿を書かせていてただいたのですが、力不足によって一部間違っている場所などがあるかもしれません。この情報が参考になれば幸いです。◆ 1.「FUCK Japanese」の動作原理 「FUCK Japanese」はMicrosoft VMに存在する既知のセキュリティホールである「Microsoft VM による ActiveX コンポーネントの制御」の脆弱性(MS00-075)を利用して動作します。 Microsoft VMには、本来はスタンドアロンJavaアプリケーションや電子署名されたアプレットだけがActiveXコントロールを作成したり、操作したりすることができる機能が含まれています。その実装に問題があるためにクライアントユーザが操作できる全てのことを悪意の第三者が外部から実行できてしまいます。 「FUCK Japanese」は、呼び出したActiveXコントロールは「Windows Script Host Shell Object」(以下WSH Shellと略)と「FileSystem Object」と 「Windows Script Host Network Object」を呼び出します。実際にはWSH Shellしか使用していませんでしが、将来的に亜種が使用する可能性もあります。もしかしたら、使用していないオブジェクトが残っていたのは作成者が何処からかコードをコピーしてきたのかもしれません。◆ 2.「Fuck Japanese」の動作 最初にセキュリティーホールを突いてActiveXコントロールを作成できるか試みます。失敗した場合はそのまま終了しますが、成功した場合は次のステップへと進みます。次にCookieの値を調べていますが、これは2重感染を防ぐためだと思われます。その後WHS Shellを呼び出してレジストリを書き換えCookieにある値を書き込みます。なお、全ての過程でIEからエラーが出ることが無いため、被害を受けたことを気づきにくくなっています。◆ 3.「FUCK Japanese」に攻撃された後の症状 「FUCK Japanese」はレジストリを操作するだけでファイルそのものは操作しませんので、通常はレジストリの値を書き直すだけで元に戻ります。 しかし、レジストリを書き換えられるとPCがほぼ使用不能状態となるため修復は困難となります。 「FUCK Japanese」が書き換えるレジストリは以下の5つです。 1)ポリシー 2)IEの設定 3)ファイルなどの関連付け 4)自動実行プログラムの変更 5)起動時に表示するメッセージ 以上を書き換えられたことによって起こる症状を順に説明します。 1)ポリシー 「ポリシー」というのは、Windowsが標準で持っている機能で、ユーザーの操作を制限する機能です。 「デスクトップからアイコンが全部消えた」とか「Windowsを通常どおりに終了できない」のはこの機能を利用したためです。決して、ファイルを書き換えられたためになったわけではないのでご安心ください。なお、このポリシーを利用したものとしてNECのPC98-NXシリーズのPCにバンドルされている「Cyber Trio NX」があります。 ご存知ない方に簡単に説明すると、子供にPCを触らせるとき等にPCの設定を変更させなくしたりするソフトです。(詳しくはScan本誌をご覧下さい)http://www.vagabond.co.jp/vv/m-sc.htm修復ツールが公開されているkei100氏のサイトhttp://www.geocities.co.jp/SiliconValley-Bay/5474/unfuckjp.htmlマイクロソフト「悪意のある Java スクリプトを実行することに PC が被害を受ける」問題に関する注意事項 お使いの JavaVM のバージョンを確認してください http://www.microsoft.com/japan/technet/security/javavm.asp IPA 悪意ある Javaスクリプト実行による被害情報 特定のホームページを見た後、PCが立ち上がらなくなる http://www.ipa.go.jp/security/ciadr/20010820java_browser.html 関連記事webを閲覧しただけで感染するウィルスが登場 アプリケーションが利用不能に!(2001.8.20)https://www.netsecurity.ne.jp/article/8/2657.htmlwebを閲覧するだけでPCを利用不能にするウイルス NAIが無償修正ソフトを配布開始(2001.8.21)https://www.netsecurity.ne.jp/article/8/2660.html「FUCK japanese」感染源のひとつプライスロトが経緯掲載 原因は不明(2001.8.22)https://www.netsecurity.ne.jp/article/8/2665.html「FUCK japanese」ウィルス Webを閲覧するだけでPCが起動しなくなる問題、各社対応状況(2001.8.22)https://www.netsecurity.ne.jp/article/8/2666.htmlweb見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.23)https://www.netsecurity.ne.jp/article/8/2669.htmlwebを閲覧しただけで被害を受ける「FUCK japanese」の最新情報および各社の対応状況(2001.8.23)https://www.netsecurity.ne.jp/article/8/2671.htmlweb見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.27)https://www.netsecurity.ne.jp/article/8/2708.html