Internet Watch logo
記事検索
最新ニュース

複数のウイルス対策ソフトにファイルのチェックを回避できる脆弱性


 米SecurityFocusは、複数のウイルス対策ソフトに影響のある脆弱性を公表した。ファイルに細工を加えることで、そのファイルがウイルスに感染しているかどうかの検査をすり抜けることができるというもので、多くのセキュリティ対策製品にこの脆弱性が存在するとしている。

 公表された脆弱性は、ファイルの先頭に特定のバイト列を挿入することで、実際とは異なる種類のファイルであるように偽装し、ウイルス対策ソフトの検出を回避できるというもの。いくつかのウイルス対策ソフトでは、拡張子を本来のものから変更しているようなファイルに対して、ファイルの特徴を示す先頭のバイト列をチェックする手法が用いられているが、こうした手法を悪用された形となる。

 脆弱性の報告者によると、「ArcaVir 2005」「AVG 7」「eTrust CA」「Dr.Web」「F-Prot」「Ikarus」「Kaspersky」「McAfee Internet Security Suite 7.1.5」「McAfee Corporate」「Norman」「TrendMicro PC-Cillin 2005」「TrendMicro OfficeScan」「Panda Titanium 2005」「UNA - Ukrainian National Antivirus」「Sophos 3.91」「CAT-QuickHeal」「Fortinet」「TheHacker」の18製品について、この脆弱性が存在することを確認したとしている。

 この脆弱性について、トレンドマイクロとKaspersky Labsはそれぞれ対策を発表した。トレンドマイクロでは、ウイルス検索エンジンVSAPI 7.510以降およびウイルスパターンファイル 2.915.00以降により、この脆弱性を悪用して偽装したファイルの検出に対応する。また、Kaspersky Labsでは、ロシア時間の11月4日に対応済みのパターンファイルを提供するとしている。


関連情報

URL
  SecurityFocusによる脆弱性情報(英文)
  http://www.securityfocus.com/archive/1/414518/30/60/
  トレンドマイクロの対応策
  http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12384
  Kaspersky Labs Japanの対応策
  http://www.kaspersky.co.jp/news.html?id=165


( 三柳英樹 )
2005/11/02 18:54

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.