4/12(水)
- カテゴリ:日記
- 2017/04/16 13:30:42
Windowsの月次更新と
Adobe Flash Playerの更新(Windows10のIEはWindowsに含まれる。chromeはchromeに含まれる。独自更新が必要なのは、Windows7環境や、Windows10のFirefoxなど)
そしてAdobe Readerも更新。今有効なのは、DCとXI、XIは秋にはサポートが切れるので、DCに更新すべき。(PCなら自動でDCになったりもする)
ただDCの方は脆弱性以外にもバグ対応のアップデートが多い。
https://helpx.adobe.com/jp/acrobat/release-note/release-notes-acrobat-reader.html
日本語訳が整備される前の数日は
https://helpx.adobe.com/acrobat/release-note/release-notes-acrobat-reader.html
より情報が早そうなのは
http://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotes/index.html
4/11の夜にPDFファイルのマルウェアメールが届いたのが、これに関係するかは分からない。
アイコンや二重拡張子やRLO文字などでPDFを偽装したexeファイルのマルウェアは以前からあるのだけれど、PDFそのものにしかけのあるマルウェアは今まで現物を見たことはなかった。
ウイルス対策ソフトが検出できない間に、infectedというパスワード付のzipにしておいて、
virustotalにzipのままアップロードする。
4/16時点だと37/56で大手の市販製品は検出できるようになっている。
https://www.virustotal.com/ja/file/606b9eac86b9d069cb49bd092949507fdff012d4cd39252e120d1922d43d9313/analysis/1492315376/
ここで検出できないような製品にも二種類あって
・そもそもexeファイルの挙動を見て判断するサンドボックス型製品(webrootなど)は、PDFそのものは検出しない。ただPDFがダウンロードする未知のexeファイルは、他の製品よりもいち早く検出するはず。
・単に情報網が手薄で検出しない。(virustotalの結果はフィードバックされるはずなのだが)
検出できているものも更新日は4/14~16、これが4/12時点では26/56だった。
https://www.virustotal.com/ja/file/606b9eac86b9d069cb49bd092949507fdff012d4cd39252e120d1922d43d9313/analysis/1491957382/
検出できているところは一見多いように見えるけれどそのあと更新が入った場合、
4/12の検出は未知ウイルスの検出機能に依存している可能性がある。
例えばヒューリスティックで検出しているMcAfeeのArtemisなどは、その機能(McAfeeへの通信を伴う)が利用できるような環境でないと使えない。
https://www.mcafee.com/japan/security/gti_artemis.asp