Adobe Reade の 脆弱性

先日ある知人のブログを見ていたら突然ウイルスバスターが警告を出してました。
TROJ_PIDIEF.AR　の　ウイルスを検出したということでした。

問題のファイルはPDFファイルでインターネット一時ファイルに保存されていましたので
各社のオンラインスキャンで検索したところほとんどのものでは検出されなかったのですが
カスペルスキーでは　Exploit.Win32.Pidief.fl　ということで判定されました。

ちなみにクライアントの環境は
WindowsXp Pro SP2（windows updata は通常通り行っております）
Adobe Reader 8.1.0

ここでこのウイルス情報につきまして新種のようで詳細の情報がまだ公開されていないようで
見つけれないためいくつかご質問よろしくお願いいたします。

１．ほかPCでもこのサイトを見ていたのですがこの症状が出たのはこの特定の端末だけでした。
ほかのPCはAdobe Readerはかなり古くAcrobat Reader5などでした古いことにより感染しないような
場合もあるのでしょうか。このウイルスはそのようなウイルスでしょうか。

２．対策としてこのサイトをみたすべてのＰＣをリカバリしたのですが一部Ｄドライブのデータを残しました
リカバリ後ウイルスチェックを行い現在のところはウイルスは見つかっておりません。このウイルスの場合
とりあえずは問題のファイルを削除すればよいと判断しておりますがＤドライブへのほかのファイルへの
感染の可能性もあるのでしょうか。

３．このウイルスの詳細情報が見つけれないため感染原因、感染後の症状、修復方法などが不明確で
とりあえずは上記のような対策をしたのですがとても不安です。またＰＤＦファイル自体も実際に
空白でしたが開いてしまったのでどのようなことがおこったのか気になります。
ほかのウイルスなども入った可能性もあるでしょうか。上記の対策では不十分でしょうか。
このウイルスの詳細情報などご存知であれば教えてください。

わかる部分の回答だけでも結構ですのでよろしくお願いいたします。

No.8 ベストアンサー 回答者： wamos101 回答日時： 2008/08/24 00:38

#2です。

私は今回リカバリで対処されたことは結果的に間違いだとは思いません。

Adobeの脆弱性を狙ったExploitである可能性が高く、別PCに移したとはいえ開いてしまってること、なにより有用な情報が得られていないわけですので。

こういった判断がつき難い状況ではリカバリは賢明な手立てです。Remote Exec Vuln関連で悪い状況へ進行していってしまうといった可能性も十分秘めてるわけですので。

でですね、既にリカバリをされているので正常時のシステムバックアップを定期的に取るようにすることとと、以下のソフトの導入をお奨めします。

http://www.junglejapan.com/release/2008/0729a/

この回答へのお礼

何度もご回答本当にありがとうございました。
私自身結構セキュリティには気を使っていましたのでその分今回のことは敏感になってしまいました。

使用しているどのパソコンもすぐにリカバリできるようにベストな状態でゴーストのイメージファイルが
ありますので最善を考え今回はすぐに全台リカバリと決断しました。

ただデータだけは消すわけにはいかずDドライブに完全にわけてましたので
感染のリスクが気になりました。

あれから毎日のように各社のチェックをしてますが怪しいものはみつかりませんので
おそらく問題ないと思われます。

ありがとうございました。

お礼日時：2008/08/26 11:24

No.7 回答者： ryu-fiz 回答日時： 2008/08/23 05:24

あぁ…まだ勘違いをしている方が結構いらっしゃるようですが。

。

まず申し上げておきたいのは『ウイルスが検出された』イコール『ウイルスに感染した』とは限らない、ということです。

特に、ウェブ閲覧中などに突然対策ソフトが警告を出して来て、見つかったものが隔離された場合には、感染は未然に防がれたと考えるのが筋なのです。

既に実行されてしまったexe形式のファイルや、他のアプリケーションソフトに利用されてしまったファイル、システムに組み込まれてしまったファイルなどは、いくら対策ソフトが検出しても削除出来ないケースが殆どです。逆に言えば、あっさり隔離出来てしまった場合には、人間の病気で言えば発症していない状態であり、基本的には全く心配しなくても構わないものなんです。

ですから…

>対策としてこのサイトをみたすべてのＰＣをリカバリしたのですが

もしも、ウイルス対策ソフトで相応の検出があったにも関わらず、即座にリカバリしてしまったとしたら、それはあまりに早計だったと言えます。特に、

１）検出されたものが無事に隔離出来た場合。
２）そのPCにインストールされているAdobe Readerが、脆弱性の影響を受けない最新のものであった場合。

のいずれかに該当する場合には、まずリカバリの必要はなかったと思います。百歩譲ってもリカバリを決断する前に、より検出力が高いと思われるカスペルスキーのオンラインスキャン辺りでセカンドオピニオンを取っておくべきだったかと。

http://www.kaspersky.co.jp/virusscanner

>またＰＤＦファイル自体も実際に空白でしたが開いてしまったので

PDFファイル中に含まれる深刻な感染に至る引き金となるExploitコードが事前に検出されたため、Adobe Readerが空で開いてしまった可能性もあり得ます。そのことだけで発動したと結論付けるのはどうかと思いますが。

何らかの検出があったらその感染に対する情報を漁る、というのは正しい初期対処です。でも、そこに書かれていた内容が深刻だった場合にそれだけでリカバリを決めてしまうのは明らかに間違いです。見つかったときの状況、そして見つかったものへの対処が現状どうなっているかも加味して判断すべきなのです。

重ねて申し上げますが…あくまでも検出されたものが隔離出来なかった場合の話です。また、インターネット一時ファイル内にあるファイルに関しては、リアルタイム検出直後に即座に隔離出来ないケースもあるように思われます。なので、即座に隔離できなかったことだけをとって、発症したと判断するのも早いんです。

この回答へのお礼

まったく別の意見ありがとうございます。とても参考になりました。

私としましては理解できる分もありますが使用しているどのパソコンもすぐにリカバリできるように
ベストな状態でゴーストのイメージファイルがありますので最善を考え今回はすぐに全台リカバリと決断しました。

ただデータだけは消すわけにはいかずDドライブに完全にわけてましたので
データはそのままにしましたので感染のリスクが気になりました。

あれから各社のウイルスチェックをしましたが問題ないようでしたのでryu-fizさんのいうとおりの可能性もあると思われます。

ただ今回は最善を尽くして起きたかったのでこういう処理をさせていただきました。
ご意見ありがとうございました。

お礼日時：2008/08/26 11:29

No.6 回答者： wamos101 回答日時： 2008/08/22 21:13

#2です。

Remote Exec VulnというのはRemote Execution Vulnerabilityのことで、脆弱性によるリモートコードの実行を意味します。Trojanの実行などです。ただし、必ずしも今回が当てはまると決まったわけじゃないです。あくまでもそういったことが多いというだけで。

で、リカバリ+オンラインスキャン遂行なんでほぼ問題ないと思います。

124.83.167.*** ←YAHOO
203.190.60.*** ←楽天
219.163.5.***　←お使いのプロバイダ

で、リモートポートのTCP 80はもちろんWebですけど、33537に関してはわかりません。

もちろん、REJECTだから拒否ってるわけですけど。

ちょと私にはわかりませんけど、何か心当たりは？

No.5 回答者： FMVNB50GJ 回答日時： 2008/08/22 15:13

ほかの回答者さんの補足のほうが興味深いので。

ファイアーウォールソフトは一般的にプログラムのインターネット通信を許可した場合、すんなり通過させます。あるいはまったく違って、機能そのものを停止するようなものを仕込まれている場合、機能しません。

ログは、たぶん接続要求かな？ルーターのログの見方はなれていないのでなんともいえませんが、80番ポートはたいていwebサイトへのアクセス、それ以外の番号はなんなのかな、P2Pソフトのようなソフトだと考えられますが。接続要求を出すのをフィルタリングしている場合？ですが。

逆ならば、その辺のごく当たり前の接続要求を遮断したということになると思いますが。というかルーターでそんなことしなくても通常は遮断・無視するはずですが。

リカバリしても生き残っていることはないと思います。
とりあえず、システムの復元を無効にし、セキュリティソフトの更新を確認し、ついでにマイクロソフトの更新も確認した後、スキャンをかけてみれば。ないはずですけど。

http://www.mcafee.com/japan/security/virE.asp?v= …
「Adobe Readerからの予期しないネットワーク接続が行われます。」
どのプログラムがインターネット通信するのか把握できるソフトを持っているでしょうか。コマンドプロンプトでやる方法はわかりませんが、検索するしか能がないのでこれ以上はわかりません。

No.4 回答者： kazuof23 回答日時： 2008/08/22 12:25

Adobe Reader 8.1.2以前はセキュリティホールがあるようなので、対策済みの最新版　Adobe Reader 9.0にアップしたら如何ですか。

http://www.adobe.com/jp/support/security/bulleti …

No.3 回答者： ns35006 回答日時： 2008/08/22 09:48

> １．ほかPCでもこのサイトを見ていたのですがこの症状が出たのはこの特定の端末だけでした。

> ほかのPCはAdobe Readerはかなり古くAcrobat Reader5などでした古いことにより感染しないような
> 場合もあるのでしょうか。
Adobe Readerのどの脆弱性に対するExploitかわかりませんが、例えば
CVE-2007-5659　JavaScript methodsに関する脆弱性なら
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5659
古いバージョンではその機能がないので影響を受けないかもしれません。

しかし、CVE-2008-2549　最近の脆弱性の場合
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2549
この脆弱性が公表された時点では7.1.0以外の全てのバージョンが影響を受けます。

リカバリされたということで、おそらく大丈夫だと思いますが、脆弱性のあるバージョンをそのままにされるのは避けたほうがいいと思います。
特にAdobe ReaderはPCに通常プリインストールされていますので、リカバリ後、Windows Updateをされたとしても、Adobe Readerの脆弱性はそのままになります。

この回答への補足

やはり古いバージョンでは影響を受けない場合もあるのですね。
クライアントにより挙動が違ったため不思議に思いました。
対策としてリカバリをかけオンラインスキャン（カスペルスキー　F-Secure　トレンドマイクロ）で実施して
見つからなかったのですが念には念を入れてほかに確認方法がありますでしょうか。

補足日時：2008/08/22 12:18

No.2 回答者： wamos101 回答日時： 2008/08/21 23:55

こんにちは。

私はクラッカーコミュティーの潜入調査や対策ソフトの多角的性能テストなどをしております。

対策ソフトが警告を出したのになぜこのPDFファイルを開いたのか私には理解できませんが。

Adobe Readerの脆弱性を突いたExploitの可能性が高いと思われるのに。Remote Exec Vulnとかだったとしたらヤバいですよ。Adobeは狙われやすいですからね。

まあ、リカバリをかけたとのことなので結果的には難を逃れてるのかもしれないですが。

最新のもののようですので、一番はやはりベンダに問い合わせることです。

この回答への補足

問題のファイルを開いてしまったのはオンラインスキャンをするために別のＰＣに移動させました。
そのクライアントのウイルス対策ソフトでは検知できなかったようでミスで開いてしまいました。

Remote Exec Vulnとかだったとしたらヤバいということですがこれについて検索しましたが
わかりやすいページが見つけれませんでした。ご教授いただけませんでしょうか。
またリカバリをかけオンラインスキャン（カスペルスキー　F-Secure　トレンドマイクロ）で実施して
見つからなかったのですが念には念を入れてほかにどのような確認方法がありますでしょうか。

少し気になるのがルータのログに
2008/08/22 00:41:25 IP_Filter REJECT TCP 192.168.0.9:2049 > 124.83.167.***:80 (IP-PORT=7)
2008/08/22 06:51:00 IP_Filter REJECT TCP 192.168.0.5:2049 > 203.190.60.***:33537 (IP-PORT=7)
2008/08/22 07:46:33 IP_Filter REJECT TCP 192.168.0.5:2049 > 219.163.5.***:80 (IP-PORT=7)
（*　念のために伏せています）

というのがありました。ローカルのＰＣよりどこかに通信しようとして遮断しているようですがこの件と関係ありますでしょうか。
ウイルスバスターのファイアーウォールがあるにもかかわらずなぜこのような通信をしているのか理解できません。

少し敏感になっていて何度もすみませんがよろしくお願いいたします。

補足日時：2008/08/22 10:25

No.1 回答者： FMVNB50GJ 回答日時： 2008/08/21 20:21

こちらのパソコンはxp sp3で富士通のパソコンです。

リカバリしたとのこと。十分では。自分なら感染の場合、Dドライブにデータをとっていても全部削除しますが、普通は必要ないと思います。
リカバリ前にシステムの復元をすべてのドライブで無効にする、という方法もいいかと思います。

Pidiefで検索したひとつ
http://www.symantec.com/ja/jp/security_response/ …

クライアントの環境？
問題には関係ないですが。
メールにも注意していますよね。添付ファイルは場合により削除しても残ることがあるらしいですから。outlook2003だと思いますが。ウイルス対策ソフトのファイル閲覧というか、特定のフォルダーやファイルを閲覧する機能を使って通常では見えない一時ファイルの保存場所をのぞくことはできます。
コマンドプロンプトでも見えるらしいです。
http://www.atmarkit.co.jp/fwin2k/win2ktips/831ol …

ブラウズ中のセキュリティ意識を高めるためにfirefoxの二つのアドオンを紹介
http://www.siteadvisor.com/download/ff.html
https://addons.mozilla.org/ja/firefox/addon/722

この回答への補足

Symantecのページ見せていただきました。

「標的のコンピュータ上に有害なファイルをダウンロードして実行しようと試みます。」

というのがあり気になっております。

ファイルを開いてしまいましたので実際にはほかのウイルスもダウンロードされていてどこかに潜んでいないか心配です。

リカバリをかけオンラインスキャン（カスペルスキー　F-Secure　トレンドマイクロ）で実施して
見つからなかったのですが念には念を入れてほかにどのような確認方法がありますでしょうか。

補足日時：2008/08/22 12:17