この前のAutoRunワーム対策は不十分だったらしい ― 2009/01/24 00:22
この前のというのは、USBウイルスのことなのですが、対策が十分でなかったそうです。
追記:Windows の自動実行機能を無効にする方法の方が参考になると思います。
WindowsのAutoRunワーム拡散問題、US-CERTが対策方法含め新たな警告 | パソコン | マイコミジャーナル
HKEY_CURRENT_USERということは、コンソールでログオンするユーザ全部にやらないといけないのか……これは大変かも。
グループポリシーでなんとかならないものかな。
私はインストール時に無効にしてるって以前書いたけど、それでもインストールで使ったデバイスがAutorun有効でキャッシュされてた。これは危ないですね。 ちゃちゃっとやるため、削除用のファイルを作っちゃいましょう。
再起動するとMountPoints2が作られてるので、Autorunを無効にする設定は必要なのだろうと思います。
(勘違いしてたようで orz よく読んだらAutorun.infをレジストリで無効にした上でということだった。という訳で上のレジストリに追記しました)
Windows 7でも「autorun.inf」悪用ワームのアイコン偽装に注意
まあ実体は、Vista R2な訳ですし。
Autorunに関しては95>XP>Vistaでどんどん脆弱になっていってる訳でありますしw
参考
US-CERT Technical Cyber Security Alert TA09-020A -- Microsoft Windows Does Not Disable AutoRun Properly
US-CERT Vulnerability Note VU#889747 の日本語訳 - 葉っぱ日記
Vulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳 - 葉っぱ日記
関連
USBウイルスが流行りらしい
デジカメプリント注文機にウイルス、メモリーカード経由で感染
追記:Windows の自動実行機能を無効にする方法の方が参考になると思います。
WindowsのAutoRunワーム拡散問題、US-CERTが対策方法含め新たな警告 | パソコン | マイコミジャーナル
Windowsではautorun.infの情報をキャッシュする仕組みがあり、過去に1度でも接続されたデバイスの情報を記録しているという。そのためキャッシュが残った状態でAutoRunを無効にしても、依然としてAutoRunを経由したワームの拡散が発生する危険性があると説明する。その場合、下記のレジストリキーを完全に削除して対策を行う必要がある。ただし、レジストリキーの削除でAutoRun機能そのものが削除されることになるので、実行にあたっては注意してほしい。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_CURRENT_USERということは、コンソールでログオンするユーザ全部にやらないといけないのか……これは大変かも。
グループポリシーでなんとかならないものかな。
私はインストール時に無効にしてるって以前書いたけど、それでもインストールで使ったデバイスがAutorun有効でキャッシュされてた。これは危ないですね。 ちゃちゃっとやるため、削除用のファイルを作っちゃいましょう。
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]これをメモ帳にコピペしてmntp.regのように~.regにリネームして、右クリックの結合して(ログオンするユーザ全てに適用する必要があります)再起動でいいはず。
再起動するとMountPoints2が作られてるので、Autorunを無効にする設定は必要なのだろうと思います。
(勘違いしてたようで orz よく読んだらAutorun.infをレジストリで無効にした上でということだった。という訳で上のレジストリに追記しました)
Windows 7でも「autorun.inf」悪用ワームのアイコン偽装に注意
具体的には、「Install or run program(プログラムのインストール/実行)」というカテゴリにあるアイコンが、「Open folder to view files(フォルダを開いてファイルを表示)」となっており、ユーザーはフォルダを開いたつもりでもワームが実行するとしている。
まあ実体は、Vista R2な訳ですし。
Autorunに関しては95>XP>Vistaでどんどん脆弱になっていってる訳でありますしw
参考
US-CERT Technical Cyber Security Alert TA09-020A -- Microsoft Windows Does Not Disable AutoRun Properly
US-CERT Vulnerability Note VU#889747 の日本語訳 - 葉っぱ日記
Vulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳 - 葉っぱ日記
関連
USBウイルスが流行りらしい
デジカメプリント注文機にウイルス、メモリーカード経由で感染
警視庁ネットワーク、ウイルス感染 ― 2009/01/24 15:15
警視庁ネットワーク、ウイルス感染…完全復旧週明けに(読売新聞) - Yahoo!ニュース
USBメモリーって、対策してなかったのでしょうか?
それとも、この前のAutoRunワーム対策は不十分だったらしいの隙を突かれたのでしょうか?
油断ならないですね。
WindowsUpdateやFlashの更新(現在の最新は、9.0.151.0または10.0.12.36)もお忘れなく。
参考
W32.Downadup.B | Symantec
W32.Downadup | Symantec
W32.Downadup!autorun | Symantec
警視庁のオンラインシステムに接続している端末のパソコンが、「W32・Downadup・B」と呼ばれる新種のネットワーク感染型ウイルスに感染し、同庁がウイルス駆除のため、22日午後から断続的にオンライン業務を停止していることがわかった。中略
サイバー攻撃など外部からの侵入の恐れは低く、USBメモリーなどをパソコンで使った際に感染した可能性があるとして、同庁で感染経路を調べている。警視庁ネットワーク、ウイルス感染…完全復旧週明けに : 社会 : YOMIURI ONLINE(読売新聞)
USBメモリーって、対策してなかったのでしょうか?
それとも、この前のAutoRunワーム対策は不十分だったらしいの隙を突かれたのでしょうか?
油断ならないですね。
WindowsUpdateやFlashの更新(現在の最新は、9.0.151.0または10.0.12.36)もお忘れなく。
参考
W32.Downadup.B | Symantec
W32.Downadup | Symantec
W32.Downadup!autorun | Symantec
最近のコメント