• About
• 被害対策
• マルウェア
• Topics
• FSWiki
• 質問掲示板
• Forum
• HJT DB
• リンク
• CGIで遊ぶ

Spybot S&Dで検出されるDSO Exploitについて

＊注 ： Spybot S&D 1.3にはDSO Exploit の修正に失敗するバグがある様です。バグが修正されるまではDSO Exploitの修正は行わないでください

Spybot S&Dを初めて使ってスキャン結果を見たとき「あれっ？」と思うのがこのDSO Exploitが検出されることだと思います。僕の場合は、「いいのかなあ」と思いながら、「どうせ消してもまた復活できるからいいや」と思って修復を行って、その後何もトラブルが出てないので忘れかけてました。

結論から言うと、「Spybot S&Dが薦めるままに修正して構わない」ということになります。すべてを解説するのは僕には荷が重いですが、Spybot S&DのForumなどを参考に理解している範囲でこの件についてメモをまとめます。

§ 参考サイト

• net-integration（Spybot S&Dのフォーラムを含む）のスレ「Question about detected DSO Exploit」より
• 脆弱性関連情報 2001年7月分 （ひょっとして違う？）

DSO （Dynamic Shared Objects）とは？

すいません。荷が重すぎます。Googleの検索結果をどうぞ。

Spybot S&Dで検出されるファイル

以下の5個のファイルが検出されるはずです（フォーラム1からのコピペ）

DSO Exploit: Data source object exploit (Registry change, nothing done)
 HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
 HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
 HKEY_USERS\S-1-5-21-746137067-706699826-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
 HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
 HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

何故Spybot S&Dがこれらのシステムファイルを検出するのか？

これらのDSOにはバグがあり、任意のコードを実行される可能性がありました。そのため、Spybot S&Dはこれらの脆弱性を修正しようとします。具体的には、zone 0のrestrictions valueを0から3に変更するだけで、何も削除するわけではありません。zone 0というのは、自分のPCを表し、ここにあるのはこのrestrictions valueだけです。

Microsoftからは、既に修正パッチがずいぶん前に出されており、Windows Updateをちゃんとやっていれば大丈夫なはずですが、それを行っていない人がいるはずなので検出は続けているそうです（パッチを当てている人でも同じく検出される）。

フォーラムでも、「もうパッチが出てるから検出対象から除去したらどうでしょう？」とか「パッチを当ててるかどうかを読んで、当てている場合は検出しないようにしてはどうでしょう？」などの意見が出ていますが、「Spybot S&Dによる修正で、別の意味でのセキュリティが上がりこそすれ、修正による障害は全く考えられない。また、もちろんWindows Updateにも何も支障がない」ということで、削るつもりは無いみたいです。

とにかく、ちょっとびっくりはしますがSpybot S&Dで赤でチェックされているがままに、修正してしまって大丈夫みたいです。

余談

このフォーラムの中で、面白いレスがあります。そのまま引用すると、

SSD's primary function is to 'hack' the reg. Almost all of the targets(thousands) require reg modification.
If removal was easy, we wouldn't need it.

つまり、

Spybot S&Dの基本的な機能は、レジストリを『ハック』することです。数千のターゲット（スパイウェア）のほとんどが、レジストリを改ざんしますから。
もし除去が簡単だったら、Spybot S&Dなんかいりません。

「ハック」はもちろん「ハッキング」のハックで、まあこの場合は「制圧する」とか、「他のスパイウェアの邪魔をする」とかそういうことでしょうか。
何てことないかもしれませんが、妙に印象に残ったので。

【文頭に戻る】

POWERED by