McAfee for Small Businesses

ウイルス名 危険度 JV/Exploit-Blacole.q 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6800 対応定義ファイル (現在必要とされるバージョン) 6848　（現在7084) 対応エンジン 5.4.00.1158以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 F-secure - Exploit.Java.Blacole.O Microsoft - Exploit:Java/Blacole.GD Nod32 - Java/Exploit.CVE-2012-1723.AV trojan Avira - Java/Dldr.Kara.AC.1 情報掲載日 2012/08/15 発見日（米国日付） 2012/08/11 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・JV/Exploit-Blacole.qはCVE2012-1723の脆弱性を利用する悪質なJavaコードです。 ・「Exploit-CVE2012-1723」はJavaアーカイブ（.JAR）に格納された悪質なJavaクラスファイルで、Oracle Java SE 7 update 4以前、6 update 32以前、5 update 35以前および1.4.2_37以前の脆弱性により、リモート攻撃者はホットスポットに関係がある未知のベクトルにより、機密性、整合性、可用性に悪影響を及ぼすことができます。 ・悪質なコードが組み込まれている乗っ取られたWebページにアクセスすると、このエクスプロイトに遭遇する可能性があります。 ・このコードは「Blackhole」エクスプロイトキットを使って作成されており、乗っ取ったWebページに組み込まれます。 ・脆弱なバージョンのJavaを実行しているユーザがこのページにアクセスすると、悪質なJavaクラスが動作し、任意のコードが実行されます。 ・この脆弱性は、静的変数とインスタンス変数のタイプの混同によるものです。静的変数はクラスで一般的に使われていますが、インスタンス変数はインスタンス化されたクラスでしか有効ではありません。 ・悪質なJavaパッケージに以下の悪質なJavaクラスファイルが格納されている可能性があります。 rt0a.class rt0b.class rt0c.class rt0d.class ・脆弱性の利用に成功すると、リモートポート5152を介して他のペイロードをダウンロードし、ランダムなポートで受信待機を行おうとします。 ・脆弱性の利用に成功すると、ペイロードを実行するため、以下のファイルを以下の場所に作成します。 %temp%\V.class [Exploit-CVE2012-1723という名前で検出] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・JV/Exploit-Blacole.qは任意のファイルをダウンロードする可能性があります。 ・追加のマルウェアをダウンロードして実行しようとします。 感染方法 TOPへ戻る ・JV/Exploit-Blacole.qはSun Microsystems Javaの未修正の脆弱性を利用します。 ・JV/Exploit-Blacole.qは乗っ取られたWebサイトの閲覧中にインストールされます。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。