現在地 HOME > 掲示板 > 戦争40 > 192.html ★阿修羅♪ |
|
(回答先: 【◎緊急】DNSに影響、パッチ未発行の脆弱性を悪用するトロイの木馬「QHosts」【パッチが出てない分MSブラスタより深刻かも、、】 投稿者 クエスチョン 日時 2003 年 10 月 03 日 23:16:24)
上記セキュリティ情報の内、具体的にどういう被害が出るかをまとめた部分はここ。
「レジストリの改変まで行う。」との事なので、かなり悪質。多少でも
パソコンの知識のある人ならそれがどういう意味を持つか分ると思う。
> その後の挙動は興味深い。もしこのトロイの木馬がPCにダウンロードさ
>れると、Webへのアクセスをはじめとするインターネットの利用が妨げら
>れる。というのもQHostsは、PCのDNS設定を勝手に変更するからだ。
>
> まず、デフォルトで設定されている場所とは別の「%WinDir%\Help」デ
>ィレクトリに、新たにhostsファイル(いわば名前解決用のローカルDNSキ
>ャッシュ)が作成される。この結果、googleやaltavistaといった著名な
>検索サイトにアクセスしようとすると、プログラムが仕込んだ別のIPアド
>レスにリダイレクトされてしまう。Webブラウザごと乗っ取られ、トロイ
>の木馬が仕組んだとおりに誘導されるようなものだ。
>
> QHostsはまた、もともとのネットワーク設定も変更させ、デフォルトで
>問い合わせすべきDNSサーバ(あるいはDHCP設定)を変えて、まったく異
>なるIPアドレスに設定してしまう。ここでセットされるIPアドレスには正
>しく逆引きできないものが含まれているため、ネットワーク構成によって
>は、内部DNSサーバがトラブルに陥ることもあるようだ。
>
> さらに、ファイルの作成やレジストリの改変まで行う。具体的には、
以前、IT板2でご紹介した下記リンクに情報あり。
リンクをたどって参照乞う。
セキュリティホールmemoのURL。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
> DNSに影響、パッチ未発行の脆弱性を悪用するトロイの木馬「QHosts」
>(ZDNet, 2003.10.03)
>http://www.zdnet.co.jp/enterprise/0310/03/epn04.html
>
> Qhosts というトロイの木馬が登場したそうで。
>
>spam や IRC、P2P など経由で拡散
>米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず穴を使って攻略
>http://japan.cnet.com/news/ent/story/0,2000047623,20060815,00.htm
>攻略すると hosts ファイルや DNS 設定を追加・変更
>するようだ。
>
>QHosts-1 (NAI)
>http://www.nai.com/japan/security/virPQ.asp?v=QHosts-1
>Trojan.Qhosts (シマンテック)
>http://www.symantec.com/region/jp/sarcj/data/t/trojan.qhosts.html
>TROJ_QHOSTS.A (トレンドマイクロ)
>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_QHOSTS.A
>Troj/Qhosts-1 (Sophos)
>http://www.sophos.com/virusinfo/analyses/trojqhosts1.html
> OCNのDNSサーバーに再び障害発生,最大100万人に影響 (日経 IT Pro) も関連だったりするのかな。Qhosts 関連記事:
>http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20031002/135268/
>
>Handlers Diary October 1st 2003: DNS abnormalitities (sans.org)
>http://isc.sans.org/diary.html?date=2003-10-01
>パッチ未公開の脆弱性を利用してDNS設定を変更するウイルス「QHosts」 (INTERNET Watch)
>http://internet.watch.impress.co.jp/cda/news/2003/10/03/638.html
>新たなトロイの木馬出現、攻撃の標的は米ベリサインか? (CNET)
>http://japan.cnet.com/news/ent/story/0,2000047623,20061221,00.htm