ウイルス情報

ウイルス名 危険度

Exploit-CVE2009-3867

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5959
対応定義ファイル
(現在必要とされるバージョン)
6267 (現在7659)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 AntiVir - JAVA/Jafusso.B Microsoft - Exploit:Java/CVE-2009-3867.JA Sophos - Mal/JavaBySnd-A
情報掲載日 2011/03/16
発見日(米国日付) 2010/04/21
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Exploit-CVE2009-3867は、Sun Microsystems JavaのCVE2009-3867の脆弱性を利用しようとするマルウェアです。Exploit-CVE2009-3867の特徴に関する詳細はhttp://vil.nai.com/vil/content/v_334529.htmを参照してください。

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3867

・Exploit-CVE2009-3867はSun Microsystems Javaの未修正の脆弱性を利用しようとするマルウェアです。

ファイル情報

  • MD5 - c031be32a6b26a213ec30f6879d6e61d
  • SHA1 - 42316fc9ea5b680d53514357a84c3098a022fdbd

TOPへ戻る

ウイルスの特徴

・「Exploit-CVE2009-3867.a」はJarファイルで届きます。jarセットアップファイルには3つのクラスファイルが格納されています。

  • C.class [Exploit-CVE2009-3867.aという名前で検出]
  • Google.class
  • F.class

・Exploit-CVE2009-3867という名前で検出される「C.class」は、脆弱性を利用するコードをロードします。また、「Google.class」は実行されたファイルに関する情報を格納します。

・「Exploit-CVE2009-3867.a」は、CVE-2009-3867に記載されている、脆弱性を利用する悪質なJavaアプレットです。この脆弱性はHsbParser.getSoundBank関数の実装のエラーによるもので、これを利用して、スタックバッファオーバーフローを発生させることができます。

・リモート攻撃者は、この脆弱性を利用して、Sun Microsystems Javaで任意のコードを実行できます。悪質なファイルを開く、悪質なWebページにアクセスするといったユーザの操作が必要です。

・長いfile:// URLファイル引数をgetSoundbank()関数に解析するプロセスに欠陥が存在します。ユーザが提供するデータでバウンドチェックが行われないため、スタックオーバーフローが発生し、リモートでコードが実行される可能性があります。この脆弱性を利用して、現在ログインしているユーザの資格情報でシステムを乗っ取ることができます。

・ユーザがアプレットを含むWebサイトにアクセスし、アプレットがユーザのシステムにロードされると、アプレットはコンピュータのオペレーティングシステムを確認します。次に、同じアプレットの別のファイルからコードバイトをロードし、コードに変換します。その後、ロードされたコードからファイルを作成し、コンピュータで実行して、脆弱性を利用しようとします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 新しいプログラムが予期せずサイレントインストールされます。
  • 見知らぬ外部Webサイトへのリンクが予期せず存在します。

TOPへ戻る

感染方法

・Exploit-CVE2009-3867はSun Microsystems Javaの未修正の脆弱性を利用します。

TOPへ戻る

駆除方法

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。

TOPへ戻る