McAfee for Small Businesses

ウイルス名 危険度 SWF/Exploit-Shellcode 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6911 対応定義ファイル (現在必要とされるバージョン) 6947　（現在7109) 対応エンジン 5.4.00.1158以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Kaspersky - Exploit.SWF.Agent.gz Microsoft - Exploit:SWF/ShellCode.O Sophos - Troj/SWFExp-BF Symantec - Trojan.Swifi Trend - SWF_EXPLOIT.QY Fortinet - SWF/Agent.GZ!exploit 情報掲載日 2013/01/07 発見日（米国日付） 2013/01/03 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/18 RDN/Generic.... 06/18 VBS/LoveLett... 06/18 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・悪質なFlashファイルの実行時にCVE2012-4792を利用しようとします。 Exploit-CVE2012-4792は、解放後使用による実行の脆弱性を利用してリモートサーバから悪質なペイロードをダウンロードし、ターゲットコンピュータに侵入する悪質なHTMLファイルです。この脆弱性により、クラッシュが発生し、攻撃者が影響を受けるシステムを制御できるようになる可能性があります。ダウンロードされる実行ファイルは、マカフィーが「BackDoor-FKE」という名前で検出するBackDoorの亜種です。 ・作成されたHTMLファイルは「Exploit-CVE2012-4792」、Internet Explorerのヒープスプレーに使われるSWFファイルは「SWF/Exploit-Shellcode」という名前で検出されます。 ・SWF/Exploit-Shellcodeはシェルコードの実行をロードしようとするファイルで、これによりAdobe Flash Playerがクラッシュし、任意のコードが実行されます。 ・これらのSWFファイルにはプラットフォームによって2種類のシェルコードが組み込まれています。SWF/Exploit-ShellcodeはExploit-CVE2012-4792の一部です。 Windows XP Windows 7 ・ヒープスプレーの仕組みは両方のシェルコードで同じです。不正なSWF構造のアンパック（DoABC）タグは以下の画像のとおりです。 図1. シェルコード ・脆弱性の利用に成功すると、シェルコードがAdobe Flash Playerのメモリアドレス空間にロードされます。シェルコードはヒープスプレーを実行し、脆弱性の利用の最初の部分でダウンロードされたバイナリを復号化します（Exploit-CVE2012-4792）。 図2. 復号化の分解図 ・上記の画像から、XORキー（0x83）により悪質なバイナリが「XOR化」されていることが分かります。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記の活動が見られます。 感染方法 TOPへ戻る ・これらの不正なSWFファイルはスパムで届く可能性があります。悪質なFlashファイルの実行時にCVE2012-4792を利用しようとします。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。