セキュリティー注意喚起

セキュリティー注意喚起

非常によく流通している圧縮ファイル形式以外で、ファイルを配布しないこと。

特別なことがない限り、クライアントサイドでウィルスを検疫しないシステムや、上記の限られた圧縮ファイル以外で検疫しないウィルス対策ソフトにおいて、感染することがあります。

久しぶりに、UNLHA32.DLLのドキュメントを見た時の話

よくよく考えたら、ゲートウェイ形式でウィルス検疫をしているシステム（今はフリー　のアンチウィルスがMicrosoftからも出すぐらいだからいいのですが）って、未だに現役なんですよね。

それ以外にも、メールサーバーの検疫でも、まだ弱い部分があったりします。

例えば・・・

• LZH
• 7zip

というわけで、いくつかの圧縮形式で圧縮した、eicar アンチウィルステストファイルをここで配布します。

• まとめてダウンロード （GCA 自己解凍 パスワード 「test」）

testvirus.exe 2012-02-21(火) 13:52:44 129.2 KB
TOTAL: 66 TODAY: 0 YESTERDAY:0

• オリジナル

eicar.com 2012-02-21(火) 13:52:44 68 bytes
TOTAL: 35 TODAY: 0 YESTERDAY:0

• zip 単一

eicar.zip 2012-02-21(火) 13:52:44 236 bytes
TOTAL: 32 TODAY: 0 YESTERDAY:0

• zip ２回

eicar.zip.zip 2012-02-21(火) 13:52:44 341 bytes
TOTAL: 39 TODAY: 0 YESTERDAY:1

• LHA レベル７

eicar.lzh 2012-02-21(火) 13:52:44 147 bytes
TOTAL: 29 TODAY: 0 YESTERDAY:0

• 7zip 単一

eicar.7z 2012-02-21(火) 13:52:44 185 bytes
TOTAL: 29 TODAY: 0 YESTERDAY:0

• 7zip ２回

eicar.7z.7z 2012-02-21(火) 13:52:44 292 bytes
TOTAL: 31 TODAY: 0 YESTERDAY:0

• tar.gz

eicar.tar.gz 2012-02-21(火) 13:52:44 206 bytes
TOTAL: 31 TODAY: 0 YESTERDAY:0

• tar.bz2

eicar.tar.bz2 2012-02-21(火) 13:52:44 210 bytes
TOTAL: 38 TODAY: 0 YESTERDAY:1

• tar.xz

eicar.tar.xz 2012-02-21(火) 13:52:44 224 bytes
TOTAL: 33 TODAY: 0 YESTERDAY:0

• 容量増やしたもの （検出されないと思います）

eicar2.com 2012-02-21(火) 13:52:44 6.8 KB
TOTAL: 30 TODAY: 0 YESTERDAY:1

• 容量増やしたもの zip 単一

eicar2.zip 2012-02-21(火) 13:52:44 285 bytes
TOTAL: 31 TODAY: 0 YESTERDAY:0

• 容量増やしたもの zip ２回

eicar2.zip.zip 2012-02-21(火) 13:52:44 455 bytes
TOTAL: 28 TODAY: 0 YESTERDAY:1

• 容量増やしたもの LHA レベル７

eicar2.lzh 2012-02-21(火) 13:52:44 192 bytes
TOTAL: 25 TODAY: 0 YESTERDAY:1

• 容量増やしたもの 7z 単一

eicar2.7z 2012-02-21(火) 13:52:44 349 bytes
TOTAL: 24 TODAY: 1 YESTERDAY:0

• 容量増やしたもの 7z ２回

eicar2.7z.7z 2012-02-21(火) 13:52:44 406 bytes
TOTAL: 30 TODAY: 0 YESTERDAY:0

• 容量増やしたもの .tar.gz

• 容量増やしたもの .tar.bz2

eicar2.tar.bz2 2012-02-21(火) 13:52:44 307 bytes
TOTAL: 33 TODAY: 0 YESTERDAY:0

• 容量増やしたもの .tar.xz

eicar2.tar.xz 2012-02-21(火) 13:52:44 256 bytes
TOTAL: 35 TODAY: 0 YESTERDAY:0

以下、ドキュメントより・・・

                          =======================
                           UNLHA32.DLL Ver 2.67a
                          =======================

                                               Ｍｉｃｃｏ (Sep.12,2010)

■■■■■■■■■■■■■■■ 注意喚起 ■■■■■■■■■■■■■■■■

　細工されたヘッダをもつ LZH 書庫については， 多くのウイルス対策ソフト・
システムが検疫できません。(確認できたもので，2010 年４月現在の最新版につ
いて 3/16 のみが検疫可能。)

　それに対して，少なからぬアーカイバは，仕様上は正しいことから，そう言っ
た書庫を普通に扱えます。

　そのため， ゲートウェイ形式での検疫による対策方法を採っている場合など，
クライアントに対策ソフトがインストールされていない環境では，殆ど何の苦労
もなく侵入・感染が可能となります。クライアントにインストールされている場
合でも，展開された時点で検疫が可能なものの，プリビュー等ファイルが作成さ
れない場合については検疫が行われません。

　残念ながら，このような状況に対して各対策ソフトベンダーの対応は進んでい
ませんし，脆弱性情報として状況が公開されることは過去も今後も見込めません。

　このようなことから， 特に企業・団体においての LZH 書庫利用はお勧めしま
せん。なかでも，上記のようなゲートウェイ形式のみで検疫を行っている場合は，
LZH 書庫自体を拒否するようにして下さい。

参考情報 URI： ttp://www2.nsknet.or.jp/~micco/vul/2010/mhvi20100425.htm

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

########################################################################
##########                                                     #########
########## 自己解凍書庫以外での lh6/lh7/lhx 形式での公開配布は #########
########## 行わないようにお願いします。                        #########
##########                                                     #########
########## DLL の手動インストール方法が解らない方は， Web Page #########
########## のほうも参照してください。                          #########
##########      ttp://www2.nsknet.or.jp/~micco/micindex.html   #########
##########                                                     #########
########## ドキュメントは最後まで目を通すようにしましょう。    #########
##########「よくある不具合」はドキュメント末に移しました。     #########
##########                                                     #########
########################################################################