ウイルス情報

ウイルス名 危険度

JV/MailSend

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6463
対応定義ファイル
(現在必要とされるバージョン)
6551 (現在7659)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky - Trojan-Downloader.Java.OpenStream.as
Ikarus - Trojan-Downloader.Java.OpenStream
Micrsoft - trojandownloader:java/openconnection.hh Symantec - Trojan.Maljava!gen3
Trend - JAVA_DLOADER.A
情報掲載日 2013/07/16
発見日(米国日付) 2011/09/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

JV/MailSendはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

--2013年6月20日更新---

・「JV/MailSend」はjavaの脆弱性を利用しようとする悪質なJavaアーカイブです。JV/MailSendには悪意を持って作成されたJavaアプレットが組み込まれており、ユーザの同意なしに追加のマルウェアをダウンロードして実行します。

・「JV/MailSend」は、Oracle Java SEおよびJava for Business 6 Update 18、5.0 Update 23、1.4.2_25 のJava Runtime Environmentコンポーネントの詳細不明の脆弱性で、リモート攻撃者が未知のベクトルにより、機密性、整合性、可用性に悪影響を及ぼすことができるようにします。なお、以前の情報は2010年3月のCPUから入手されました。Oracleは、この脆弱性がJava Runtime Environment(JRE)で特権メソッドを実行する際の確認が不適切であることに関係しているという信頼できる研究者の主張についてコメントしていません。脆弱性により、攻撃者は、(1)信頼できるクラスを拡張するものの、特定のメソッドの改変は行わない信頼できないオブジェクト、または(2)「同様のインターフェースの信頼の問題」、すなわち「信頼できるメソッドのチェーンによるリモートコードの実行の脆弱性」により、任意のコードを実行できます。

・「JV/MailSend」はエクスプロイトをダウンロードして実行する悪質なWebサイトにユーザをリダイレクトします。また、Javaコード内で悪質なコードを実行するため、インストールされているjavaプラグインを確認します。

・「JV/MailSend」のjavaアーカイブのクラスファイルは脆弱性を利用してJavaサンドボックスのすべての権限を手に入れ、アプレットが感染したマシンにファイルをダウンロードして実行できるようにします。コード化されたURLが乗っ取ったWebサイトからパラメータを介して受け渡されます。

以下のコードから、JV/MailSendはruntime.exec()関数を使ってファイルを実行することが分かります。


・「JV/MailSend」はjavaの脆弱性を利用しようとする悪質なJavaアーカイブです。JV/MailSendには悪意を持って作成されたJavaアプレットが組み込まれており、ユーザの同意なしに追加のマルウェアをダウンロードして実行します。

・「JV/MailSend」は、Oracle Java SEおよびJava for Business 6 Update 18、5.0 Update 23、1.4.2_25 のJava Runtime Environmentコンポーネントの詳細不明の脆弱性で、リモート攻撃者が未知のベクトルにより、機密性、整合性、可用性に悪影響を及ぼすことができるようにします。なお、以前の情報は2010年3月のCPUから入手されました。Oracleは、この脆弱性がJava Runtime Environment(JRE)で特権メソッドを実行する際の確認が不適切であることに関係しているという信頼できる研究者の主張についてコメントしていません。脆弱性により、攻撃者は、(1)信頼できるクラスを拡張するものの、特定のメソッドの改変は行わない信頼できないオブジェクト、または(2)「同様のインターフェースの信頼の問題」、すなわち「信頼できるメソッドのチェーンによるリモートコードの実行の脆弱性」により、任意のコードを実行できます。

・「JV/MailSend」はエクスプロイトをダウンロードして実行する悪質なWebサイトにユーザをリダイレクトします。また、Javaコード内で悪質なコードを実行するため、インストールされているjavaプラグインを確認します。

・「JV/MailSend」のjavaアーカイブのクラスファイルは脆弱性を利用してJavaサンドボックスのすべての権限を手に入れ、アプレットが感染したマシンにファイルをダウンロードして実行できるようにします。コード化されたURLが乗っ取ったWebサイトからパラメータを介して受け渡されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • JV/MailSendは任意のファイルをダウンロードする可能性があります。
  • 追加のマルウェアを感染したシステムにダウンロードして実行しようとします。

TOPへ戻る

感染方法

  • JV/MailSendはSun Microsystems Javaの未修正の脆弱性を利用します。
  • JV/MailSendは乗っ取られたWebサイトの閲覧中にインストールされます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る