McAfee for Small Businesses

ウイルス名 危険度 Exploit-CVE2009-3867 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5959 対応定義ファイル (現在必要とされるバージョン) 6267　（現在7084) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 AntiVir - JAVA/Jafusso.B Microsoft - Exploit:Java/CVE-2009-3867.JA Sophos - Mal/JavaBySnd-A 情報掲載日 2011/03/16 発見日（米国日付） 2010/04/21 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・「Exploit-CVE2009-3867.a」はJarファイルで届きます。jarセットアップファイルには3つのクラスファイルが格納されています。 C.class [Exploit-CVE2009-3867.aという名前で検出] Google.class F.class ・Exploit-CVE2009-3867という名前で検出される「C.class」は、脆弱性を利用するコードをロードします。また、「Google.class」は実行されたファイルに関する情報を格納します。 ・「Exploit-CVE2009-3867.a」は、CVE-2009-3867に記載されている、脆弱性を利用する悪質なJavaアプレットです。この脆弱性はHsbParser.getSoundBank関数の実装のエラーによるもので、これを利用して、スタックバッファオーバーフローを発生させることができます。 ・リモート攻撃者は、この脆弱性を利用して、Sun Microsystems Javaで任意のコードを実行できます。悪質なファイルを開く、悪質なWebページにアクセスするといったユーザの操作が必要です。 ・長いfile:// URLファイル引数をgetSoundbank()関数に解析するプロセスに欠陥が存在します。ユーザが提供するデータでバウンドチェックが行われないため、スタックオーバーフローが発生し、リモートでコードが実行される可能性があります。この脆弱性を利用して、現在ログインしているユーザの資格情報でシステムを乗っ取ることができます。 ・ユーザがアプレットを含むWebサイトにアクセスし、アプレットがユーザのシステムにロードされると、アプレットはコンピュータのオペレーティングシステムを確認します。次に、同じアプレットの別のファイルからコードバイトをロードし、コードに変換します。その後、ロードされたコードからファイルを作成し、コンピュータで実行して、脆弱性を利用しようとします。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 新しいプログラムが予期せずサイレントインストールされます。 見知らぬ外部Webサイトへのリンクが予期せず存在します。 感染方法 TOPへ戻る ・Exploit-CVE2009-3867はSun Microsystems Javaの未修正の脆弱性を利用します。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。