ウイルス情報

ウイルス名 危険度

Exploit-ZIP

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4397
対応定義ファイル
(現在必要とされるバージョン)
4398 (現在7659)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/10/20
発見日(米国日付) 2004/10/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・Exploit-ZIPはウイルス対策製品ベンダーによる検出を防ぐために改変されたZIPファイルです。

McAfeeからの報告

McAfee

・McAfeeスキャンエンジンは、圧縮ファイルに組み込まれたウイルス、ワームおよびトロイの木馬の検出で、常に市場トップに立っています。McAfeeのペイロード検出メカニズムは、すべての圧縮ファイルをファイル内のネストごとに徹底的にスキャンして、ファイル内のすべての対象部分がスキャンされるようにします。

・McAfeeは、ZIP圧縮ファイルのローカルヘッダーの情報が改変されるという、圧縮ファイルのペイロードの概念証明の利用を認識しています。

・ローカルヘッダーは各ファイルの圧縮データの手前にあります。機能を損なうことなく、ローカルヘッダーの圧縮ファイルの圧縮されていない状態のサイズを改変できます。その結果、ローカルヘッダーの圧縮されていない状態のサイズをゼロに改変することにより、悪意のあるペイロードを隠し、ウイルス対策製品による検出を防ぐことができる可能性があります。

・McAfeeがZIP圧縮ファイルの分析で使用する技法では、ZIPファイル形式の脆弱性に包括的に対処して、ユーザを保護します。

・最新のMcAfeeウイルス対策エンジンとウイルス定義ファイル(2004年10月13日に4398をリリース)を使用すれば、このような脆弱性を利用した攻撃からのユーザの保護をさらに強化できます。

・ウイルス定義ファイル4397(2004年10月6日)は、特にゲートウェイとコマンドラインスキャンをターゲットにした、同じ脆弱性を利用した攻撃を初期段階で防御しました。

・この種の脆弱性を利用した攻撃が検出されると、「Found the Exploit-Zip Trojan!」というメッセージが表示されます。

・詳細は、iDefenseからの報告を参照してください。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・サンプルがゲートウェイデバイスから送信され、オンデマンドスキャンが使用されている場合、この脆弱性を利用した攻撃は検出されません。

・一方、悪質ソフトウェアが格納されたZIP圧縮ファイルがオンアクセススキャナを実行しているマシンで解凍された場合、悪質ソフトウェアは検出されるため、動作することはありません。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る