ウイルス情報

ウイルス名 危険度

Exploit-FIV

企業ユーザ: 低
個人ユーザ: 低
種別 -
最小定義ファイル
(最初に検出を確認したバージョン)
7129
対応定義ファイル
(現在必要とされるバージョン)
7129 (現在7659)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2013/07/10
発見日(米国日付) 2013/07/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・初期のExploit-FIVはアプレットの形でWebサイトにホストされ、CVE2013-1493を利用するコードが組み込まれています。Exploit-FIVの目的は、密かに追加のマルウェアを感染したシステムにダウンロードして実行することです。通常にはない未知のドメインへのトラフィックが存在する場合、Exploit-FIVに感染している可能性があります。

・Oracle Java SEのJava Runtime Environmentコンポーネント(サブコンポーネント:2D)の詳細不明の脆弱性です。影響を受けるバージョンは7 Update 15以前、6 Update 41以前および5.0 Update 40以前です。脆弱性は容易に利用でき、複数のプロトコルを介して、不正なネットワーク攻撃を仕掛けることができます。この脆弱性を利用した攻撃に成功すると、任意のコードの実行を含め、オペレーティングシステムを不正に乗っ取ることが可能です。

・この脆弱性は、信頼できないJava Web Startアプリケーションおよび信頼できないJavaアプレットからのみ利用できます。(信頼できないJava Web Startアプリケーションおよび信頼できないJavaアプレットは、権限が限定されたJavaサンドボックスで動作します。)

TOPへ戻る

ウイルスの特徴

--2013年7月8日更新---

「Exploit-FIV!CVE2012-1723」はJavaアーカイブ(.JAR)に格納された悪質なJavaクラスファイルで、Oracle Java SE 7 Update 15以前、6 Update 41以前、5.0 Update 40以前の脆弱性により、リモート攻撃者はホットスポットに関係がある未知のベクトルにより、機密性、整合性、可用性に悪影響を及ぼすことができます。

・Oracle Java SE 7 Update 15以前、6 Update 41以前および5.0 Update 40以前の2Dコンポーネントのカラー管理(CMM)機能を利用して、リモート攻撃者は任意のコードを実行したり、特殊なラスタパラメータが埋め込まれた画像を使ってサービス拒否を引き起こしたりすることができ、これにより、本来禁止されている読み取りを行ったり、JVMのメモリを破壊したりすることが可能です。

・これらの脆弱性は認証なしで、すなわちユーザ名やパスワードを使わずに、ネットワーク上でリモートで利用することができます。脆弱性の利用に成功するには、ユーザが疑いを持たずに影響を受けるリリースをブラウザで実行し、これらの脆弱性を利用した悪質なWebページにアクセスする必要があります。脆弱性の利用に成功すると、ユーザのシステムの可用性、整合性、機密性に影響を及ぼすことが可能です。

・悪質なコードが組み込まれている乗っ取られたWebページにアクセスすると、このエクスプロイトに遭遇する可能性があります。

・実行時、Exploit-FIVは、他のペイロードをダウンロードするため、以下のURLに接続しようとします。

  • Zi[削除]a.com
  • 69.89.[削除].214
  • unifi[削除]yer.com
  • hxxp://69.89.[削除].214/crossdomain.xml

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • Exploit-FIVは任意のファイルをダウンロードする可能性があります。
  • 追加のマルウェアを感染したシステムにダウンロードして実行しようとします。

TOPへ戻る

感染方法

  • Exploit-FIVはSun Microsystems Javaの未修正の脆弱性を利用します。
  • Exploit-FIVは乗っ取られたWebサイトの閲覧中にインストールされます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る