ウイルス情報

ウイルス名 危険度

Exploit-CVE2012-0158

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7095
対応定義ファイル
(現在必要とされるバージョン)
7167 (現在7656)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky - Exploit.MSWord.CVE-2012-0158.ax Drweb - Exploit.CVE2012-0158.24 Fortinet - W97M/CVE_2012_0158.AX!exploit Ikarus - Exploit.RTF.ObfsStrm Kaspersky - Exploit.MSWord.CVE-2012-0158.ax Drweb - Exploit.CVE2012-0158.24 Microsoft - Exploit:Win32/CVE-2012-0158 Eset-Nod32 - Win32/Exploit.CVE-2012-0158.DH
情報掲載日 2013/08/23
発見日(米国日付) 2012/04/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Exploit-CVE2012-0158はトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

--2013年8月17日更新---

Exploit-CVE2012-0158は、CVE-2012-0158の脆弱性を利用するOLEファイルが格納された特殊なRTFファイルです。

・「Exploit-CVE2012-0158」は、Microsoft Officeおよびその他のマイクロソフト製品のWindowsコモンコントロール(MSCOMCTL.OCX)の脆弱性で、ActiveXコントロールのコンポーネントであるMSCOMCTLに存在するCVE-2012-0158のスタックオーバーフローの脆弱性を利用する特殊なOLEファイルが組み込まれています。

・ Microsoft Office 2003 SP3、2007 SP2およびSP3、2010 GoldおよびSP1、Office 2003 Web Components SP3、SQL Server 2000 SP4、2005 SP4、2008 SP2、SP3およびR2、BizTalk Server 2002 SP1、Commerce Server 2002 SP4、2007 SP2、2009 GoldおよびR2、Visual FoxPro 8.0 SP1および9.0 SP2、Visual Basic 6.0 RuntimeのコモンコントロールであるMSCOMCTL.OCXに含まれるActiveXコントロールである (1) ListView、(2) ListView2、(3) TreeViewおよび (4) TreeView2を利用して、リモート攻撃者は、特殊な (a) Webサイト、(b) Office文書または (c) .rtfファイルから任意のコードを実行し、2012年4月に実際に利用された「MSCOMCTL.OCX RCEの脆弱性」のように、「システムの状態」の破損を引き起こすことができます。

・一般的に、Exploit-CVE2012-0158の特殊なファイルは、標的型攻撃として、電子メールの添付ファイルとして届きます。脆弱なバージョンのMicrosoft Wordを使用して不正なRTFファイルを開くと、文書に埋め込まれている悪質なWin32実行ファイルがドロップ(作成)され、実行されます。

・脆弱性の利用に成功すると、以下のファイルをドロップ(作成)します。

  • "%systemdrive%\programdata\iisnet.exe"

・また、以下のIPにpingを送ります。

  • 12.54.[削除].78

・以下のファイルがシステムに追加されます。

  • %temp%\~DFB141.tmp
  • %temp%\~DFB8A5.tmp
  • %temp%\~WINWORD
  • %temp%\~WRC0000.tmp
  • %temp%\~WRD0000.doc
  • %temp%\~WRF0001.tmp

・以下はシステムに追加されるレジストリキーです。

  • HKEY_LOCAL_MACHINE\Windows\CurrentVersion\Run\Internet Explorer: "%systemdrive%\programdata\iisnet.exe"

・上記のレジストリ項目により、システムが起動するたびにExploit-CVE2012-0158が実行されるようにします。

  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\migratedBitValues: 01 00 00 00
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\FriendlyName: "Microsoft Word 11.0"
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\LabelText: 01 00 00 00
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\Save: 01 00 00 00
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\ShowButtons: 01 00 00 00
  • HKEY_USERS\S-1-5-21[不定]-500\Software\Microsoft\Office\Common\Smart Tag\Applications\OpusApp\ShowIndicators: 01 00 00 00

Exploit-CVE2012-0158は、CVE-2012-0158の脆弱性を利用するOLEファイルが格納された特殊なRTFファイルです。

・「Exploit-CVE2012-0158」は、Microsoft Officeおよびその他のマイクロソフト製品のWindowsコモンコントロール(MSCOMCTL.OCX)の脆弱性で、ActiveXコントロールのコンポーネントであるMSCOMCTLに存在するCVE-2012-0158のスタックオーバーフローの脆弱性を利用する特殊なOLEファイルが組み込まれています。

・ Microsoft Office 2003 SP3、2007 SP2およびSP3、2010 GoldおよびSP1、Office 2003 Web Components SP3、SQL Server 2000 SP4、2005 SP4、2008 SP2、SP3およびR2、BizTalk Server 2002 SP1、Commerce Server 2002 SP4、2007 SP2、2009 GoldおよびR2、Visual FoxPro 8.0 SP1および9.0 SP2、Visual Basic 6.0 RuntimeのコモンコントロールであるMSCOMCTL.OCXに含まれるActiveXコントロールである (1) ListView、(2) ListView2、(3) TreeViewおよび (4) TreeView2を利用して、リモート攻撃者は、特殊な (a) Webサイト、(b) Office文書または (c) .rtfファイルから任意のコードを実行し、2012年4月に実際に利用された「MSCOMCTL.OCX RCEの脆弱性」のように、「システムの状態」の破損を引き起こすことができます。

・一般的に、Exploit-CVE2012-0158の特殊なファイルは、標的型攻撃として、電子メールの添付ファイルとして届きます。脆弱なバージョンのMicrosoft Wordを使用して不正なRTFファイルを開くと、文書に埋め込まれている悪質なWin32実行ファイルがドロップ(作成)され、実行されます。

・脆弱性の利用に成功すると、以下の場所にファイルをドロップ(作成)します。

  • %WINDIR%\webnet.exe
  • %Temp%\dw20.EXE

・ドロップされたファイルは以下のURLに接続しようとします。

  • proxy_kans.y[削除]ct.net

・以下はシステムに追加されるレジストリキーです。

  • HKey_Local_Machine \SOFTWARE\Microsoft\Active Setup\Installed Components\{VARIES}\StubPath

・以下はシステムに追加されるレジストリキー値です。

  • HKey_Local_Machine\SOFTWARE\Microsoft\Active Setup\Installed Components\{VARIES}\StubPath: %WINDIR%\webnet.exe
  • HKey_Local_Machine\SOFTWARE\Microsoft\Active Setup\Installed Components\{VARIES}\StubPath: 43 3A 5C 57 49 4E 44 4F 57 53 5C 77 65 62 6E 65 74 2E 65 78 65 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記の活動が見られます。

TOPへ戻る

感染方法

・RTFファイルが開かれると、CVE-2012-0158の脆弱性を利用して、悪質なコードが自動的に実行されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る