ウイルス情報

ウイルス名 危険度

Exploit-Comele

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5860
対応定義ファイル
(現在必要とされるバージョン)
5867 (現在7656)
対応エンジン 5.3.01以降 (現在5600) 
エンジンバージョンの見分け方
別名 JS.Elecom.A (VisrusBuster)EXP/Comele.A (Avira)Exploit.Comele (Ikarus)Exploit.Comele.A (BDC)Exploit/ComeIE (Panda)Exploit:JS/Elecom.A (Microsoft)JS/Elecom.A (Cat Quick Heal)Operation Aurora
情報掲載日 2010/01/20
発見日(米国日付) 2010/01/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Exploit-Comeleは特定のDOMオペレーションの処理中の脆弱性を利用しようとする不正なスクリプトです。

・攻撃者はこの問題を利用してリモートコードを実行する可能性があります。

TOPへ戻る

ウイルスの特徴

・Exploit-ComeleはOperation Auroraの第1段階です。Operation Auroraの詳細は以下を参照してください。

  • Roarur.dr - Operation Aurora(第2段階 - ダウンロードされるマルウェア)
  • Roarur.dll - Operation Aurora(第3段階 - ドロップ(作成)/インストールされるマルウェア)

・初期のしっかりと暗号化されたJavaScriptを分析した結果、成功すると、「hxxp://demo[削除].jpg」に接続して、Roarur.drという名前で検出される、XORで暗号化された悪質なバイナリをダウンロードすることが判明しました。このファイルは「C:\Documents and Settings\User\Application Data\a.exe」などの名前で%Application Data%\a.exeに保存されます。a.exeを復号化したb.exeが同じフォルダに作成され、実行されます。

・現在、上記のWebサイトはダウンしています。

・Exploit-ComeleはJavaScriptが有効に設定されているすべてのバージョンのInternet Explorerに影響を及ぼします。現在、DEP(データ実行防止)により、Exploit-Comeleの生成は阻止されていますが、今後の生成については不確実なため、常に最新の修正プログラムを適用してください。

・この脆弱性およびMcAfee IPSの対応に関する詳細はこちらをクリックして確認してください。

・マイクロソフトセキュリティアドバイザリはこちらを参照してください。

・この脆弱性の公開から48時間でエクスプロイトコードが公開されました。よって、カスタマイズされたペイロードを持つ多くの新しい亜種が発生する可能性があります。これらの亜種をプロアクティブ、リアクティブに防ぐため、マカフィーのウイルス定義ファイルを更新してください。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のWebサイトへの予期しないネットワーク接続が行われます(初期の亜種)。

TOPへ戻る

感染方法

・Exploit-Comeleは特定のDOMオペレーションの処理中の脆弱性を利用しようとします。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る