--2009年6月3日更新--
・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://blogs.zdnet.com/security/?p=3476
・JS/Exploit-BO.genはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。
特徴
--2009年6月2日更新--
・JS/Exploit-BO.genは、数多くの乗っ取られたWebサイトからリンクされた2つの悪質なWebサイトによって提供されます。JS/Exploit-BO.genはトロイの木馬「Nebuler」をダウンロードしようとします。
・Internet Explorerで表示する場合、このWebサイトのメインページは、「スクリプトのスキャン」が有効であればVirusScanによってJS/Exploit-BO.genという名前でプロアクティブに検出されて保護されます。
--2007年4月25日更新--
・Googleのスポンサーリンクからリンクされた悪質なWebサイトが、複数のWebの脆弱性の利用をホストしていることがわかりました。www.smartt{非表示}.orgでホストされているこのWebサイトにはwww.expl{非表示}ff.netにリンクしているフレームが含まれていました。www.expl{非表示}ff.netには実際の脆弱性の利用やマルウェアがホストされていました。
・Internet Explorerで表示する場合、脆弱性の利用の組み合わせをホストしているWebサイトのメインページは、「スクリプトのスキャン」が有効であればVirusScanによってJS/Exploit-BO.genという名前でプロアクティブに検出されて保護されます。
・以下の脆弱性が対象となっていました。
・現時点では、インストールされたマルウェアが銀行関連のパスワードスティーラをダウンロードしていました。5018 DATではPWS-Banker.gen.btという名前で検出されます。
--2006年10月1日更新--
・Microsoft Internet Explorerを対象とした2つの最新の攻撃ツールが、JS/Exploit-BO.genという名前でプロアクティブに検出されています。
--2006年3月31日更新--
・より効果的な脆弱性利用ファイルを生成するソースコードがリリースされました。4732 DATファイルでは、これらのソースコードを検出するためにExploit-BO.genの検出が強化されています。Exploit-CreateTxtRndの検出によってこれらのソースコードがプロアクティブに検出されます。
--2006年3月24日更新--
・Exploit-CreateTxtRngの検出が、生の脆弱性を利用するコード用に作成されました(以前は検出されなかった純粋なDoS脆弱性の利用を検出します)。コードを実行しようとするこれらの脆弱性の利用は、以下に言及するように、JS/Exploit-BO.genでも使用されています。
-- 2006年3月23日更新--
・JS/Exploit-BO.genの検出が、最近の0-day脆弱性(Microsoft Internet Explorer "createTextRange()" Code Execution)を利用する、本日リリースされたコンセプトの立証に対応するためにアップデートされました。この変更は、4726 DATファイルで追加されるので、コード実行の脆弱性利用のみ知られているDoSバージョンの脆弱性の利用には対応していません。
・Internet Explorer(IE)は、ディクスに書き込む(IEの内部キャッシュに保存される)前にスクリプトを実行するため、McAfee VirusScanのScriptScan(VSE8.0i機能)を有効にして、悪質なWebサイトから脆弱性が利用される脆弱なクライアントを保護する必要があります。On Access Scannerは、IEによって開かれる前にディスクに保存されるファイルを検出し、電子メールスキャナおよびゲートウェイスキャナも実行前に認識された脆弱性の利用を検出することで保護します。
参照:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1359
http://www.microsoft.com/technet/security/advisory/917077.mspx
http://www.kb.cert.org/vuls/id/876678
http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx
-- 2005 年12月1日更新--
・「Window()」リモートコード実行の脆弱性を利用する最初のトロイの木馬が、最近発見されました(トロイの木馬型ダウンローラWin32/Delf.DHとしても知られています)。この脅威は、4633 DAT以降のファイルでJS/Exploit-BO.genという名前でプロアクティブに検出されます。
・Microsoftはこの脆弱性に関する重要な勧告を発表しました。詳細については、Microsoft Security Advisory (911302)を参照してください。
VirusScan Enterprise 8.0i / Managed VirusScan
・Generic Buffer Overflow Protectionが、この脆弱性の利用がもたらす可能性のあるコード実行から保護します。
McAfee Entercept
・EnterceptのGeneric Buffer Overflow Protectionが、この脆弱性の利用がもたらす可能性のあるコード実行から保護します。
McAfee IntruShield
・アップデートされたシグネチャが、HTTPレスポンスをサポートするTrimbleリリースに使用できます。
McAfee Foundstone
・アップデートされたシグネチャがリリースされました。
--2005年11月21日更新 --
・JS/Exploit-BO.genの検出が、Internet Explorerを対象とした0-day「Window()」リモートコード実行の脆弱性の利用を検出するために、変更されました。この変更は4633 DATリリースで追加されます。
・JS/Exploit-BO.genは、Microsoft Internet Explorerに存在する既知の脆弱性など、さまざまなバッファオーバーフローの脆弱性の利用を目的とした、不特定のスクリプトコード検出の総称です。
・Internet Explorerは、ディクスに書き込む(IEの内部キャッシュに保存される)前にスクリプトを実行するので、実行前にこの脆弱性の利用を防ぐために、McAfee VirusScanのScriptScan(VSE8.0i機能)を有効にするか、スクリプトによる悪影響からシステムを保護するBuffer Overflow保護を有効にする必要があります。
・ScriptScanおよびBuffer Overflow保護がいずれも無効になっている場合は、On Access Scannerが識別可能な脆弱性利用コードを検出しますが、実行を防ぐことはできません。
・また、ゲートウェイスキャナもこの検出名によりシステムを保護できます。
