ニュース
2004/08/12 02:33 更新
圧縮/解凍ソフトのDirectory Traversal問題を悪用する「Nullporce亜種?」
いくつかの圧縮/解凍ソフトウェアに存在したDirectory Traversal問題を悪用する「Nullporce亜種」による被害が出ているようだ。
7月末以降、P2Pソフト「Winny」経由で拡散するトロイの木馬「Nullporce」の亜種による被害が出ている模様だ。今のところ、ウイルス対策ベンダーによる警告は出されていないが、複数の被害者が報告されている。
Nullporceは、Winny経由で拡散するトロイの木馬だ。オリジナルのNullporceはファイルの実行によって直接感染するが、7月下旬〜8月上旬にかけて蔓延しているのは、いくつかの圧縮/解凍ソフトウェアに存在したDirectory Traversal(ディレクトリまたぎ)問題――いわゆる「圧縮ファイル解凍の脆弱性」――を悪用している亜種と見られる。
このNullporce亜種は、細工を施した圧縮ファイルの形で流通している。このファイルを、「Lhasa」「+Lhaca」や「Explzh」の旧バージョンなど、ユーザーの意図しない場所にアーカイブが展開されるDirectory Traversal問題が存在する圧縮/解凍ソフトウェアで、特に解凍先を指定することなく展開すると、Windows XP起動時に必ず実行される「スタートアップ」フォルダ内にトロイの木馬本体が送り込まれる。この結果、次にPCを立ち上げた際に、勝手にトロイの木馬が実行されてしまい、ユーザーのデスクトップにダメージが与えられるという。なお、このDirectory Traversal問題は、旧バージョンのUNLHA32.DLLなどにも存在しており、これらDLLファイルに依存する圧縮/解凍ソフトにも影響が及ぶ。
感染被害の内容にはややばらつきがあり、亜種が1種類なのか、あるいは複数存在するかも含め、ウイルス対策ベンダー各社のWebサイトにはまだ、Nullporce亜種についての情報は見当たらない。したがって、ウイルス対策ソフトウェアでブロックすることは困難と思われる。「C:ドライブでは圧縮ファイルを操作しない」「解凍する場合には自ら解凍先のパスを指定するか、目視で解凍先を確認する」「警告を表示させるなどしてこの問題を修正した圧縮/解凍ソフトウェアを利用する」、あるいはそもそも「不審な圧縮ファイルは解凍しない」といった対策で自衛することが第一となりそうだ。
関連記事
[高橋睦美,ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
「設備」「ネットワーク」「マネジメント」
1日の処理を1秒にも――MySQLの達人が語る
業務でオープンソースは不安、は過去のこと
技術者不在でも「すぐに使える」
トップエンジニア村上氏と上野氏が競演!
「Windows 7搭載PC」で何が変わったのか?
@IT「Windows 7」 特設サイトオープン!
「どこでもオフィス」で業務効率アップ!![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
IT基盤をアウトソースした中堅中小企業たち
「ノートPCの持ち出し禁止」だけで大丈夫?
かつての日本の成功体験はもう通じない
MONOist執筆陣×PTC対談企画 好評の第2弾
IBM スマートなモノづくり PLMフォーラム
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター