2005年12月9日(金曜日)

XCP の挙動って知られていないのかしら

「Antinnyを投下するトロイの木馬、コピー防止ソフト「XCP」で隠蔽工作か (internet.watch.impress.co.jp)」。

また、システムフォルダにワーム型ウイルス「W32.HLLW.Antinny」のコピーである「$sys$WeLoveMcCOL.exe」「$sys$sos$sys$.exe」「$sys$sonyTimer.exe」という3種類のファイルのうちいずれかを投下する。
(～中略～)
なお、Trojan.WelomochがどのようにXCPを悪用してAntinnyを隠すかは、現在のところ明らかにされていない。

えっと……。XCP が何故 rootkit だと言われているのかというと、

XCPは、「$sys$」という文字列で始まるすべてのプロセス、ファイル、ディレクトリを隠します。また、これらのバイナリのパスを指す一部のレジストリキーも隠します。

以上、マカフィー株式会社--セキュリティ情報-- より

というわけです。XCP がインストールされている環境では、名前を $sys$ で始めるという、ただそれだけのことでファイルやプロセスを隠すことができます。ですから、ファイル名を $sys$ で始めるだけで「悪用」できてしまうわけでして、まさにそれが問題にされているわけなのですが。

「XCP の挙動って知られていないのかしら」にコメントを書く

無視される警告

東証、誤発注のジェイコム株売買停止に　事態収拾見えず (www.asahi.com)

まず、みずほ証券は法人顧客から電話で「ジェイコム株１株を６１万円で売って欲しい」との注文を受け、８日午前、コンピューター端末で発注したが、その際「６１万株を１円で売り」と誤って入力。端末からは市場価格との隔たりを示す警告が出たことに気付いたものの、担当者はそのまま作業を続けた。この警告については「よく出るので慣れの中で結果的に無視してしまった」という。

警告がいつも出ると、警告を無視するのが習慣になってしまって警告としての用をなさなくなるという話ですね。警告出し過ぎの UI に問題があったのではないかと思いますが……。

※「New」がいつも出ていて用をなさなくなるというのも良くある話。

「無視される警告」へのコメント (5件)

関連する話題: ユーザビリティ

前(古い): 2005年12月7日(Wednesday)のえび日記
次(新しい): 2005年12月11日(Sunday)のえび日記