clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
日本サイト更新日: 2004年1月28日 14:00

Category 1 Trojan.ByteVerify

発見日: 2003年9月5日 (米国時間)
最終更新日: 2003年10月21日 18:59 (米国時間)

Trojan.ByteVerify は、マイクロソフト セキュリティ情報 MS03-011 で解説されている脆弱性を悪用し、ハッカーが感染先のシステム上で任意のコードを実行できるようにするトロイの木馬です。

別名: Exploit-ByteVerify [McAfee], Exploit.Java.Bytverify [KAV], JAVA_BYTVERIFY.A [Trend]

種別: トロイの木馬

感染サイズ: 不定

影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

影響を受けないシステム: Linux, Macintosh, OS/2, UNIX

CVE識別番号: CAN-2003-0111


  • 対応日(Intelligent Updater)*
    		•  2003/09/08(米国時間)
  • 対応日(Live UpdateTM)**
    		•  2003/09/10(米国時間)
    * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
    ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
    LiveUpdateの使い方については、こちらをクリックしてください。

    threat assessment

    被害状況

    危険性評価グラフ
    Low Low Low

    被害状況:

    ダメージ:

    感染力:

    ダメージ

    technical details

    Trojan.ByteVerify が実行されると、次のことを行います。

    1. Blackbox.class を使用して sandbox 制限を逃れるために、次のことを実行します。
      1. setFullyTrusted が TRUE に設定された新規の PermissionDataSet を宣言します。
      2. 信頼できる PermissionSet を作成します。
      3. VerifierBug.class をもとに独自の URLClassLoader クラスを作成することによって、パーミッションを PermissionSet に設定します。

    2. URLClassLoader を使用して、Blackbox.class から Beyond.class をロードします。

    3. Beyond.class 内に存在する PolicyEngine クラスの assertPermission メソッドを起動することによって、ローカルコンピュータ上で無制限のアクセス権限を取得します。

    4. Web ページ http://www.clavus.net/lst.backs を開き、そのサイトに表示されるテキストを解析します。

      例えば、SP|www.ewebsearch.net/sp.htm の場合、Internet Explorer のスタートページが www.ewebsearch.net/sp.htm に設定されることを意味します。

    5. お気に入りフォルダに、幾つかのポルノサイトのリンクを追加します。

    6. ダイヤラープログラムを取り出し、感染先のコンピュータ上にインストールしようとします。そのダイヤラープログラムは、感染先のコンピュータをポルノサイトに接続させようとします。

    注意:
    • Trojan.ByteVerify は通常、悪意のある他のコンテンツのコンポーネントとして届きます。攻撃者は、その他のコードを実行するために、コンパイルされている Java クラスファイルを使用する可能性があります。そのファイルは、VerifierBug.Class として存在する可能性があります。例えば、攻撃者は、トロイの木馬を使用する .html ファイルを作成し、その後、Internet Explorer のスタートページの変更といった、その他のアクションを実行するスクリプトファイルを作成する可能性があります。

    • 感染通知メッセージは、必ずしもコンピュータが感染していることを示すものではなく、有害なクラスファイルを含んでいるプログラムの存在を報告しているだけに過ぎません。つまり、必ずしもそのプログラムが有害な機能を使用したことを意味するものではありません。

    recommendations

    Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
    • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 従業員に対し、次のことを徹底させる。
      • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
      • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
      • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

    removal instructions

    以下の手順は、Symantec AntiVrus およびNorton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

    1. システムの復元機能を無効にします(Windows Me/XP の場合)。
    2. ウイルス定義を最新版に更新します。
    3. コンピュータをセーフモードまたは VGA モードで再起動します。
    4. システム全体のスキャンを実行し、Trojan.ByteVerify として検出されたファイルをすべて削除します。
    具体的な手順については、以下のセクションをご覧ください。

    1. システムの復元オプションを無効にする (Windows Me/XP)
    Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

    Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

    また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

    システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

    システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455 をご覧ください。


    2. ウイルス定義を更新する
    ウイルス定義ファイルはすべて、Symantec Security Response による完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の 2 通りの方法で入手できます。
    • LiveUpdate を実行する方法。LiveUpdateTM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdate を通じて配布されているウイルス定義ファイルは、Symantec Security Response の完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdateTM サーバーにアップロードされます。この脅威に対応するウイルス定義が LiveUpdate を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
    • Intelligent UpdaterTM を使用してウイルス定義をダウンロードする方法。Intelligent UpdaterTM を通じて配布しているウイルス定義ファイルは、Symantec Security Response(シマンテック・セキュリティ・レスポンス)による完全な品質保証検査を通過後、米国時間の平日(月曜日〜金曜日)に随時、更新、アップロードされています。Intelligent UpdaterTM によるウイルス定義ファイルは、Symantec Security Response の Web サイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義が Intelligent Updater を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。

      Intelligent Updater のウイルス定義は、こちらからダウンロードいただけます。Intelligent UpdaterTM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。

    3. コンピュータをセーフモードまたは VGA モードで再起動する

    コンピュータをシャットダウンし、電源を切った後、30 秒間待ちます。その後、コンピュータをセーフモードまたは VGA モードで再起動します。

    4. 感染ファイルを探して削除する
    1. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
    2. システム全体のスキャンを実行します。
    3. Trojan.ByteVerify に感染しているファイルが検出されたら、[削除] をクリックします。