- 締切済み
JavaScriptによるマルウェア感染
(A) http://unixfreaxjp.blogspot.jp/2010/06/javascript_14.html の 2)マルウェアをダウンロードさせるjavascript を見ると、javascript での exeファイル(実行ファイル)のダウンロードが可能みたいですが ダウンロードだけで終わらずに、実行ファイルをダウンロード後にアプリケーション・OSに脆弱性がなくても実行まで出来てしまうのでしょうか? 実行ファイル以外の拡張子のファイル(PDF・フラッシュなどのファイル)をダウンロードさせ、それらのファイルのアプリケーションに脆弱性があるときに悪意のあるコードを実行させられることはよく聞きます。 実行ファイル以外のファイルによって対応アプリケーションの脆弱性を狙う方法ではなく、 javascriptで実行ファイルをダウンロードさせそのまま実行までさせることは出来るのでしょうか。 (B) http://unixfreaxjp.blogspot.jp/2010/07/javascript.html に 「dropper」種類ですが次回に説明しますけど(dropperとはjavascriptマルウェアですがマルウェア実行プログラム/binaryファイルがjavascriptのマルウェアコードの中にあり、javascriptマルウェアを実行したらパソコンにマルウェア実行ファイルを保存されてしまいます) とあります。 ブラウザがjavascriptを読み込んだ時点で、そのjavascriptはパソコン内にダウンロード(保存)されているわけですが、 javascriptのマルウェアコードの中にあるマルウェア実行プログラム/binaryファイルは、OS,アプリケーションに脆弱性がなくても、保存にとどまらず実行までされてしまうのでしょうか。 (A),(B)について教えてください。
- tororow
- お礼率20% (2/10)
- ウィルス・マルウェア
- 回答数4
- ありがとう数0
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- kuwashii_kun
- ベストアンサー率50% (10/20)
>そのまま内包されたマルウェアが実行までされそうな気がします。 それは脆弱性が存在し、悪用される場合です。 >Bで可能なのはダウンロードまでで、javascriptに内包されたマルウェアの実行にまではなぜ至らないのでしょうか。 いいですか、そのリンク先の説明をよく読んで下さい。脆弱性がない場合はDropperのDL→保存までです。
- kuwashii_kun
- ベストアンサー率50% (10/20)
すいません、少々書き損じたので追記させて下さい。 最近では対策ソフトでの検知を逃れるために分割ダウンロードを用いてくる例も見られます。 まあ、対策ソフト対策を講じてくるなんて当然考えられることです。
- kuwashii_kun
- ベストアンサー率50% (10/20)
お答えします。 A、B共に実行まではされません。 で、ドロッパーというのは、本来の目的とするマルウェアを内包する形態を取ってるマルウェアのことをいいます。包み隠すといいますか。要するに取り出して実行する。 これに対してダウンローダーというのがありますが、これは目的するマルウェアを外部のサイトから落として実行する形のものです。 おわかりのように、最初からセットしてあるマルウェアを吐き出して実行するのがDropperで、外部から持ってくるのがDownloaderです。 Drive by Downloadのからくりを教えてあげます。 http://www.sec-pro.net/shio20121219.pdf の「シェルコードとは」の部分 http://ja.wikipedia.org/wiki/%E3%82%B7%E3%82%A7%E3%83%AB%E3%82%B3%E3%83%BC%E3%83%89 の「ダウンロード実行型」のところ。
関連するQ&A
- 画像、動画ファイルからのマルウェア感染
動画、画像ファイルから感染することありますよね? 1: exeファイルでは検知できるマルウェアも動画、画像ファイルの拡張子(wmv,mp4,mpg,jpg,jpeg,gif...)のファイル名に変えられてPCに置かれている場合(このファイルはファイルAとする)、拡張子が変えられているためアンチウイルスソフトが検知できず(未確認でまちがってるかも)他のexeファイル(このファイルはファイルBとする)を実行するとこの拡張子が動画、画像ファイルの物に変えられたファイル(ファイルA)を再びexeファイルに戻し実行され感染 2: 画像、動画ファイルの中に他のファイルを隠すフリーソフトがあるが、そんなソフトウェアでマルウェアを画像、動画ファイルの中に忍ばせ(このファイルはファイルAとする)アンチウイルスソフトの検知を回避。 他のexeファイル(このファイルはファイルBとする)を実行するとその隠されたマルウェアが画像、動画ファイルの中から(ファイルAから)取り出され実行され感染 こんな1,2のような場合アンチウイルスソフトで画像、動画ファイルを検査しても検知されませんよね?マルウェアの入った画像、動画ファイルがPCに保存されてると気持ちわるいんで。
- ベストアンサー
- スパイウェア
- サンドボックス内のマルウェアは実環境を変えられる?
sandboxieでブラウザを仮想化してネットサーフィン中にブラウザの脆弱性が攻撃されると、ネットサーフィンを終了するまではマルウェアが活動を続け、パソコン内の情報が外部に流出する可能性があると教えていただきました。 ふと思ったのですが、このマルウェアの活動には、リバース接続でパソコンを自由に操作されサンドボックス外にウイルスを埋め込まれたり、外部に接続して悪意のあるファイルをサンドボックス外にダウンロードし実行されることも含まれるのでしょうか? 外部流出タイプなら、仮想化したブラウザを終了するとマルウェアも消滅しますが、リバース接続や外部接続でダウンロードし実行するタイプなら実環境も変えられてしまうのでは、と心配になりました。 実環境を変えられると、仮想化したブラウザを終了しても安全ではなくパソコンへの悪影響は続くことになります。
- ベストアンサー
- ウィルス・マルウェア
- ブラウザからのマルウェア感染によるスマホルート化
こんにちは。 Androidスマホのセキュリティ上の問題でお聞きしたいことがあります。 例えばタイトルのようにAndroidスマホのブラウザで、怪しいサイトにアクセスしたとします。そのサイトの画像を保存して閲覧したり、広告を踏んだりする、あるいはアクセスしただけで、勝手にルート権限を書き換えてシステム領域にマルウェアなどの不正なファイルをインストールされてしまうということはありますでしょうか? 私の認識としては画像を保存したり、広告を踏んだり、勝手に不正なアプリがダウンロードされても、自分で不正なアプリをインストールしなければ上記のようなことは起きないし、マルウェアはユーザー領域にもインストールされないという認識なのですが、いかがでしょうか。自分の見えていないところで勝手にマルウェアがダウンロード、インストールされていることがあるのでしょうか。 ちなみに、ファイル管理ソフトで内部ストレージやSDカードを検索してもapkの拡張子のファイルは見つかっていないという状況です。 よろしくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
- JavaScriptからPHP実行
PHPのIf文の結果によってJavaScriptからA.phpか、B.phpファイルを実行したいのですがJavaScriptからphpファイルを実行するのはどういったコードで可能でしょうか?
- ベストアンサー
- PHP
- マルウェアの処理について
はじめまして。 少し不安なので質問させていただきます。 昨日の夜、ネットで探し物をしていたときに同時に誤って異なるファイルをダウンロード、インストールしてしまい、それがマルウェアだったということが判明しました。 すぐに怪しいと気がついたので、何も触らずにアンインストールを行いました。 easy lifeや、fast to browse、何とかpro(ごめんなさい、失念してしまいました。工具のアイコンでした)等、いくつかインストールさせられたようですが、ウィルスバスターが入っていた事もあり、問題のマルウェアはすぐに削除されました。僕自身も色々調べProgram Files等に残っていた怪しい残骸も取り除き、改めてウィルスバスターで全体スキャンをかけ、SUPER anti spywareでもスキャンを行いました。心配だったので、念のためその際にダウンロードしたファイルも消してあります。 今の所特に不具合なども無く、マルウェアと同じ時間に作られたデータなども見当たらない状態ですが、他にするべき、やっておいた方が良い事などはあるでしょうか。 拙い文章ですが、お答えいただければ幸いです。どうぞ宜しくお願い致します。
- 締切済み
- ネットトラブル
- Malwarebytes' Anti-Malwareがキャンセルされてしまいます。
security toolというマルウェアに感染してしまったため、他サイトにあったrkill→Malwarebytes' Anti-Malware実行という手順で削除しようと思ったのですが、Malwarebytes' Anti-Malwareでスキャンを実行すると、二時間ほどで「問題があったためスキャンを中断しました」というような表示が出てしまい、スキャンがキャンセルされてしまいます…。 「問題の詳細を確認する」をクリックすると、以下のような表示がされるのですが、パソコン関係に全く詳しくないため、どうすればよいのかさっぱりわかりません…。 詳しい方がいらっしゃいましたら、どうか回答をお願い致します。 問題の署名: 問題イベント名: APPCRASH アプリケーション名: mbam.exe アプリケーションのバージョン: 1.45.0.0 アプリケーションのタイムスタンプ: 4bb10678 障害モジュールの名前: USER32.dll 障害モジュールのバージョン: 6.0.6002.18005 障害モジュールのタイムスタンプ: 49e0380e 例外コード: c0000005 例外オフセット: 000121dc OS バージョン: 6.0.6002.2.2.0.768.2 ロケール ID: 1041 追加情報 1: cc77 追加情報 2: ef1a5c26c968aa33f0b7c9bb536b7677 追加情報 3: 94cd 追加情報 4: fdfe331f4bcd3385cb228314a1b8cbea
- 締切済み
- スパイウェア
- Skiaというフォントからマルウェアに感染したかも
「ウイルス入ったかも」と相談され、内容を調べています。 Skiaという無料のフォントをインストールしようとしたところ、マルウェア対策ソフト ESET NOD32が反応した(ESET ログ1)そうですが、駆除できたというメッセージが出たので、そのままインストールしたそうです。 すると、また何かESETが反応した(ESET ログ2)そうです。 怪しかったけど駆除できたっポイから大丈夫だろうと、別のPCにインストーラ持って行って、またフォントをインストールしたところ、そちらのPCでもESET NOD32が反応したそうです。(ESET ログ3) その後、スキャンしたりして警戒したら、また何か削除されたようなメッセージが出ているようです。(ESET ログ4、ESET ログ5) これは、どういう状況でしょうか? ESETの過剰反応とかでなく、ガッツリマルウェアにやられたのでしょうか? 無料のfontのインストーラにマルウェアを仕込まれている状態でしょうか? どのような実害が予想されますか? スキャンして自動で駆除されるのですが、されずに残っている場合もあったりします。 もうOS初期化するしかなさそうですか? Skiaというフォントがどうしても欲しいそうです。 安全に使用できるSkiaフォントをダウンロードできるサイトはありますか? あるいは、このインストーラを浄化する事はできますか? 以上、よろしくお願いします。 【SkiaのダウンロードURL】 http://jp.ffonts.net/Skia.font (気を付けて下さい!!) 【ESET ログ1】 レベル 重大な警告 スキャナ リアルタイムファイルシステム保護 対象 ファイル 名前 F:\Skia_downloader_by_Ffonts.exe ウイルス Win32/Somoto.Aの亜種 望ましくない可能性があるアプリケーション 情報 アプリケーションによって新規作成されたファイルでイベントが発生しました: C:\WINDOWS\explorer.exe. 【ESET ログ2】 レベル 重大な警告 スキャナ リアルタイムファイルシステム保護 名前 C:\DOCUME~1\user1\LOCALS~1\Temp\BetterInstaller.exe ウイルス Win32/Somoto.Aの亜種 望ましくない可能性があるアプリケーション 情報 アプリケーションによって新規作成されたファイルでイベントが発生しました: C:\Documents and Settings\user1\デスクトップ\Skia_downloader_by_Ffonts.exe. 【ESET ログ3】 レベル 重大な警告 スキャナ リアルタイムファイルシステム保護 対象 ファイル 名前 C:\DOCUME~1\user2\LOCALS~1\Temp\BetterInstaller.exe ウイルス Win32/Somoto.Aの亜種 望ましくない可能性があるアプリケーション 情報 アプリケーションによって新規作成されたファイルでイベントが発生しました: C:\Documents and Settings\user2\デスクトップ\Skia_downloader_by_Ffonts.exe. 【ESET ログ4】 レベル 警告 スキャナ リアルタイムファイルシステム保護 名前 C:\System Volume Information\_restore{4203F65C-1384-4E7E-81AE-9C815E2F88D5}\RP757\A0088069.exe ウイルス Win32/Somoto.Aの亜種 望ましくない可能性があるアプリケーション アクション 削除されました - 隔離しました ユーザ NT AUTHORITY\SYSTEM 情報 アプリケーションによって変更されたファイルでイベントが発生しました: C:\WINDOWS\system32\svchost.exe. 【ESET ログ5】 レベル 警告 スキャナ リアルタイムファイルシステム保護 名前 C:\System Volume Information\_restore{4203F65C-1384-4E7E-81AE-9C815E2F88D5}\RP758\A0088124.exe ウイルス Win32/Toolbar.Babylonの亜種である可能性 望ましくない可能性があるアプリケーション アクション 削除されました - 隔離しました ユーザ NT AUTHORITY\SYSTEM 情報 アプリケーションによって変更されたファイルでイベントが発生しました: C:\WINDOWS\system32\svchost.exe.
- ベストアンサー
- ウィルス・マルウェア
- firefoxをsandboxieで仮想化した場合
firefoxをsandboxieで仮想化してネットサーフィン予定です。 3点お伺いしたいです。 1 ネットサーフィンをしていると勝手に裏でファイルを強制的にダウンロードさせるサイトがあり、ダウンロードされるファイルは、実行ファイルと実行ファイル以外のファイルの2種類に分けられると思います。 カスペルスキーのブラウザ仮想化では、実行に必要なファイル(DLLなど)がないためファイルがダウンロードされても実行されないと書かれています。 http://www.kasperskystore.jp/product/technology02-1.html sandboxieでfirefoxを仮想化してネットサーフィンする場合 ○実行ファイルが勝手にダウンロードされても実行されることはない ○実行ファイル以外のファイルがダウンロードされても、そのファイルに対応したアプリケーションで開かれる(実行される)ことはない のでしょうか。 2 sandboxieでfirefoxを仮想化している場合 firefoxのアドオン(adblock plusやfiregestueres等)・プラグイン(adobe readerやflash player等)を有効にしてネットサーフィンをしても アドオン・プラグインは仮想環境下にあり、それらの脆弱性を攻撃されることがあってもパソコンに悪影響はないでしょうか? 3 1のような強制的にダウンロードさせるサイトではなく、通常のサイトではファイルをダウンロードすると [プログラムで開く]または[ファイルを保存する]のダイアログが表示されます。 sandboxieでfirefoxを仮想化してネットサーフィンする場合 [プログラムで開く]を選択すると、そのプログラムは仮想環境下で実行されるのでしょうか? たとえば、xlsファイルをダウンロードした時に[プログラムで開く]を選んでエクセルで開いた場合、エクセルは仮想環境下で果たして動いているのか、という問題です。
- 締切済み
- ウィルス・マルウェア
- MP3プレイヤーのウイルス感染とはどのような状態ですか
mp3プレイヤーにウイルスが感染していたという話や(マクドナルドの件など)、カーナビにウイルスが入っていたという話がありますが、これは具体的にどのような状況なのでしょうか。 1.プレイヤーなどの中のプログラムにウイルスコードが追記されていた。 ファイル感染型。これの場合は工場製造後には書き換えられることは無いですよね。 2.マスターブートレコード(MBR)にウイルスコードが追記されていた。 しかしこういう製品のMBRを書き換えるタイプは見つかっていないと聞きました。 3.USBメモリとしても使用可能なプレイヤーがあり、ウイルス本体がそこに保存され、autorunが書き換えられて自動実行されるようになっていた。 4.初めから入っていた曲にウイルスコードが追記され、脆弱性を突く時を待っていた。 これは厳密には機械が感染していたわけではないですよね。でも実行ファイル以外のものにウイルスコードを忍ばせるものってありましたっけ? 思いつくのはこのあたりですが、どのような感染だったのでしょう。
- ベストアンサー
- ウィルス・マルウェア
- CGIファイル に JavaScript
CGIのファイルにJavaScriptを書き込んでも 問題はないでしょうか? CGIのファイルを開きますとHTMLの部分がありまして、 そこにJavaScriptを付け足したいのですが、 それは可能でしょうか。 実行すれば分かることだと思うのですが、 自分自身はプログラムの技術がなく分からないもので。 人から質問されて困っています。 すみませんが、よろしくお願いいたします。
- ベストアンサー
- CGI
補足
Aの実行ファイルをダウンロードするタイプだと、実行ファイルをダウンロードされたとしても、実行ファイルは危険ですから、アプリケーション(ブラウザ)やOSで実行されないように設定されていることは理解できます。 Bについてですが、javascript内にマルウェアが存在しているのなら、ホームページを見た時点でjavascriptがパソコン内にダウンロード(保存)されるわけですが、その時にはもうブラウザによってjavascriptは実行されていると思います。 そのjavascriptには当然javascriptに内包されたマルウェアを取り出し・実行するコードまで書かれているのが普通で、そのまま内包されたマルウェアが実行までされそうな気がします。 Bで可能なのはダウンロードまでで、javascriptに内包されたマルウェアの実行にまではなぜ至らないのでしょうか。