最近の俺

【追記あり】フォントファイルがマルウェア判定された話~FontAwesome.otf: Win.Exploit.CVE_2019_0903-6966169-0

こんにちは、さんぺい(@3pei_tw)です。5月になってレイワになったと思ったらもう5月も終わりですね。いやはや早いもんです。

つーか暑い(仙台の予想最高気温31℃。ありえねぇ・・・・)

もくじ~この記事にはこんなことが書いてあります

いきなり結論から

たぶん問題なさそうです(←たぶんって何だたぶんって)

 

前提

前にも書いたかもしれませんが、ここではVPSを使っています(KagoyaVPS)。

俗にいう「レンタルサーバー」ってのはいうなれば賃貸マンションみたいなもんで、ある程度の設備が完備された状態でさくっと入って住めるものかなと考えますが、対してVPSは賃貸に対して言えば分譲マンションみたいなものといえるかもしれません

(自分で書いててなんか違うな、って気がしていますが、まぁいいでしょう。普通のレンタルサーバーはレオパレス21って書いたほうがいいかな)

 

で、VPSは分譲マンションなんで、契約しても家の中はからっぽです。電気もガスも自分で手続きしないといけません(さすがにネットワークは生きてますが)

当然ウィルス対策もしなくちゃいけないので、僕んとこでは「ClamAV」を入れています。

 

 

ちなみに使っているOSはLinux系のCentOS7。

この「ClamAV」ですが結構立派に務めを果たしてくれてて、これまでのところ問題はおきていませんでした
(まぁ発見しないといけないのを見逃し続けてる、って可能性もあるわけですが)

 

いつもは毎朝こんなメールが届いています。

 

[CLAMAV-SAFE] 20190525-021501
/: OK
----------- SCAN SUMMARY -----------
Infected files: 0
Time: 913.904 sec (15 m 13 s)

 

それが今朝はこんなのが届いてました

 

[CLAMAV-OUT] 20190526-021501
FontAwesome.otf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
VeraBd.ttf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
VeraIt.ttf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
VeraMono.ttf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
VeraSeBd.ttf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
VeraSe.ttf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
flaticon.ttf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
flaticon.eot: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
FontAwesome.otf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
VL-PGothic-Regular.ttf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
DejaVuSans-ExtraLight.ttf: Win.Exploit.CVE_2019_0903-6966169-0 FOUND
----------- SCAN SUMMARY -----------
Infected files: 17
Time: 711.390 sec (11 m 51 s)

お、おう、、、、なんだかわからんけど見つかったらしいな・・・・。

※ちなみに1行目は件名で、何もなければ件名に”SAFE”と書いて、なんかあれば”OUT”と書くようにしてました。見事にOUTですね。。。。
※対象ファイル行にはファイルまでのパスが出ていましたが、消してあります。

と、ここまでが今朝の話。

 

調査

調査に使うのは以下。

・Google検索 ま、基本か
・Twitter検索 ある意味何よりも早いからな。これも必須だ
・勘 野生のかん?

 

Google検索

フォント名を含めたワードでは何もなし。ウィルスの登録名で引っ張って下記情報有。

 

物騒な単語が並ぶがとりあえずスルー。

っていうかここで対策のためにダウンロードしろとかってどういうこと?思わずクリックしそうになるじゃねーか(←立派な情弱)

 

Twitter検索

意外に静か。(Win.Exploit.CVE_2019_0903-6966169-0 で検索結果3件)

ツイッタランドでも騒ぎにはなっていなかった。不思議ー

気にしなくていいんじゃね?←

 

根拠

・そもそもWindowsじゃない(Win.Exploitはその名の通りウィンドウズ向け)

・今のところ騒ぎにはなっていない模様

・とりあえずこういうのがあったと覚えておけばいいだろう

 

という情弱丸出しの締めで終わります。

 

★追記(2019.05.29)

おお騒ぎした本件ですが、28日以降検出されなくなりました。

 

5/28

[CLAMAV-SAFE] 20190528-021501
/: OK
———– SCAN SUMMARY ———–
Infected files: 0
Time: 854.978 sec (14 m 14 s)

 

5/29

[CLAMAV-SAFE] 20190529-021501
/: OK
———– SCAN SUMMARY ———–
Infected files: 0
Time: 839.307 sec (13 m 59 s)

・削除はしていません。残っています。

・要は「ゴホウ」ってやつですね。

情報収集は↓がいいかもですね。今回みたいなことがあってもIPAになければとりあえず静観でいいかな、と。

 

お疲れ様でした。。

ABOUT ME
sampei
新しもの好きな40代おっさんです・・
●ブログランキング参加しています●

ランキング参加中です。

クリックいただけるととっても喜びますwいつもありがとうございます

ブログランキング・にほんブログ村へ