製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス名危険度
Exploit-CVE2012-0158
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7095
対応定義ファイル
(現在必要とされるバージョン)
7167 (現在7543)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Exploit.MSWord.CVE-2012-0158.ax Drweb - Exploit.CVE2012-0158.24 Fortinet - W97M/CVE_2012_0158.AX!exploit Ikarus - Exploit.RTF.ObfsStrm Kaspersky - Exploit.MSWord.CVE-2012-0158.ax Drweb - Exploit.CVE2012-0158.24 Microsoft - Exploit:Win32/CVE-2012-0158 Eset-Nod32 - Win32/Exploit.CVE-2012-0158.DH
情報掲載日2013/08/23
発見日(米国日付)2012/04/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/26RDN/Generic ...
08/26RDN/Generic....
08/26RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7543
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・Exploit-CVE2012-0158はトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

--2013年8月17日更新---

Exploit-CVE2012-0158は、CVE-2012-0158の脆弱性を利用するOLEファイルが格納された特殊なRTFファイルです。

・「Exploit-CVE2012-0158」は、Microsoft Officeおよびその他のマイクロソフト製品のWindowsコモンコントロール(MSCOMCTL.OCX)の脆弱性で、ActiveXコントロールのコンポーネントであるMSCOMCTLに存在するCVE-2012-0158のスタックオーバーフローの脆弱性を利用する特殊なOLEファイルが組み込まれています。

・ Microsoft Office 2003 SP3、2007 SP2およびSP3、2010 GoldおよびSP1、Office 2003 Web Components SP3、SQL Server 2000 SP4、2005 SP4、2008 SP2、SP3およびR2、BizTalk Server 2002 SP1、Commerce Server 2002 SP4、2007 SP2、2009 GoldおよびR2、Visual FoxPro 8.0 SP1および9.0 SP2、Visual Basic 6.0 RuntimeのコモンコントロールであるMSCOMCTL.OCXに含まれるActiveXコントロールである (1) ListView、(2) ListView2、(3) TreeViewおよび (4) TreeView2を利用して、リモート攻撃者は、特殊な (a) Webサイト、(b) Office文書または (c) .rtfファイルから任意のコードを実行し、2012年4月に実際に利用された「MSCOMCTL.OCX RCEの脆弱性」のように、「システムの状態」の破損を引き起こすことができます。

・一般的に、Exploit-CVE2012-0158の特殊なファイルは、標的型攻撃として、電子メールの添付ファイルとして届きます。脆弱なバージョンのMicrosoft Wordを使用して不正なRTFファイルを開くと、文書に埋め込まれている悪質なWin32実行ファイルがドロップ(作成)され、実行されます。

・脆弱性の利用に成功すると、以下のファイルをドロップ(作成)します。

  • "%systemdrive%\programdata\iisnet.exe"

・また、以下のIPにpingを送ります。

  • 12.54.[削除].78

・以下のファイルがシステムに追加されます。

  • %temp%\~DFB141.tmp
  • %temp%\~DFB8A5.tmp
  • %temp%\~WINWORD
  • %temp%\~WRC0000.tmp
  • %temp%\~WRD0000.doc
  • %temp%\~WRF0001.tmp

・以下はシステムに追加されるレジストリキーです。

  • HKEY_LOCAL_MACHINE\Windows\CurrentVersion\Run\Internet Explorer: "%systemdrive%\programdata\iisnet.exe"

・上記のレジストリ項目により、システムが起動するたびにExploit-CVE2012-0158が実行されるようにします。

  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\migratedBitValues: 01 00 00 00
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\FriendlyName: "Microsoft Word 11.0"
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\LabelText: 01 00 00 00
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\Save: 01 00 00 00
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\ShowButtons: 01 00 00 00
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\ShowIndicators: 01 00 00 00

Exploit-CVE2012-0158は、CVE-2012-0158の脆弱性を利用するOLEファイルが格納された特殊なRTFファイルです。

・「Exploit-CVE2012-0158」は、Microsoft Officeおよびその他のマイクロソフト製品のWindowsコモンコントロール(MSCOMCTL.OCX)の脆弱性で、ActiveXコントロールのコンポーネントであるMSCOMCTLに存在するCVE-2012-0158のスタックオーバーフローの脆弱性を利用する特殊なOLEファイルが組み込まれています。

・ Microsoft Office 2003 SP3、2007 SP2およびSP3、2010 GoldおよびSP1、Office 2003 Web Components SP3、SQL Server 2000 SP4、2005 SP4、2008 SP2、SP3およびR2、BizTalk Server 2002 SP1、Commerce Server 2002 SP4、2007 SP2、2009 GoldおよびR2、Visual FoxPro 8.0 SP1および9.0 SP2、Visual Basic 6.0 RuntimeのコモンコントロールであるMSCOMCTL.OCXに含まれるActiveXコントロールである (1) ListView、(2) ListView2、(3) TreeViewおよび (4) TreeView2を利用して、リモート攻撃者は、特殊な (a) Webサイト、(b) Office文書または (c) .rtfファイルから任意のコードを実行し、2012年4月に実際に利用された「MSCOMCTL.OCX RCEの脆弱性」のように、「システムの状態」の破損を引き起こすことができます。

・一般的に、Exploit-CVE2012-0158の特殊なファイルは、標的型攻撃として、電子メールの添付ファイルとして届きます。脆弱なバージョンのMicrosoft Wordを使用して不正なRTFファイルを開くと、文書に埋め込まれている悪質なWin32実行ファイルがドロップ(作成)され、実行されます。

・脆弱性の利用に成功すると、以下の場所にファイルをドロップ(作成)します。

  • %WINDIR%\webnet.exe
  • %Temp%\dw20.EXE

・ドロップされたファイルは以下のURLに接続しようとします。

  • proxy_kans.y[削除]ct.net

・以下はシステムに追加されるレジストリキーです。

  • HKey_Local_Machine \SOFTWARE\Microsoft\Active Setup\Installed Components\{VARIES}\StubPath

・以下はシステムに追加されるレジストリキー値です。

  • HKey_Local_Machine\SOFTWARE\Microsoft\Active Setup\Installed Components\{VARIES}\StubPath: %WINDIR%\webnet.exe
  • HKey_Local_Machine\SOFTWARE\Microsoft\Active Setup\Installed Components\{VARIES}\StubPath: 43 3A 5C 57 49 4E 44 4F 57 53 5C 77 65 62 6E 65 74 2E 65 78 65 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記の活動が見られます。

感染方法TOPへ戻る

・RTFファイルが開かれると、CVE-2012-0158の脆弱性を利用して、悪質なコードが自動的に実行されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。