スポンサーサイト

--年--月--日 --:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Genoのウェブサイトを含む複数のWebサイトでウイルス感染

2009年04月06日 15:17

2009/04/04 の朝ごろから、中古PCとPCパーツの通販ショップGENO
(http://www.geno-web.jp/および、http://www.geno.co.jp)などをはじめ、
数箇所のウェブサイトで、ウイルス感染が発見されています。
jquery.jsというファイル名(正規ではJavaScriptのライブラリ)の
悪意のあるコードに改竄されたJSファイルへリンクされていることにより、
悪意のある別のWebページへ転送されます。
さらに、Adobe FlashPlayerや、AdobeReaderなどの脆弱性を利用したものであるという情報もあります。

また、UserAgentにより、マルウェアの種類などを変えているという情報もあり
環境によっては、異なるマルウェアがダウンロードされたり
そもそもマルウェアがダウンロードされない場合もあるようです。
そして、今回のマルウェア感染は、先の脆弱性なども利用したものであるため、
InternetExplorerだけでなく、Firefoxなどでも感染する危険性が高い
とのことです。
WindowsVista環境では感染しない(但しブラウザによる)という情報もあり、
WindowsVistaが感染しないのは強固なセキュリティ(ブラウザなどの権限制御等)もあるかもしれませんが、
それよりも大きいのはUserAgentなどの違いによるもの
だと考えられます。
(UserAgentにより対象外と判別されている)

[セキュリティ製品の対応状況]
現在、Kaspersky、a-squared、Avast、Norton、GDataなどが対応済み。
(但し現状では検知/遮断のみ対応。つまり予防のみで、修復は不能なようです。)
そのほか一部のアンチウイルスでは、ヒューリスティック検知や振る舞い検知により検知可能です。
また、AVG、Antivir、ウイルスバスター、ESET、NOD32などはまだ未対応のようです。
さらに、対応済みのセキュリティソフトウェアを使用している環境においても
一部しか検知できなかったり、全く検知できなかったりして、
感染してしまう可能性がある
ようです。

【6日19:06追記】
AVGおよび、Antivir(Avira)について対応の動きがあったようです。
(但し、現時点では一部をとり逃している可能性があるようです。)

【6日 23:00追記】
ウイルス対策ソフトウェアで、個々の製品にもよりますが、
検知および削除などが可能になってきているようです。

[各ウェブサイトの状況](04/06 19:29現在)
http://www.geno-web.jpおよび、http://www.geno.co.jp/の
トップページは既にメンテナンス中にされており安全かと思われますが、
geno-web.jpの配下にある商品ページなどは、まだアクセス可能で、
危険な状態にあります。
www.juicyrock.co.jp/は、復旧されています。
www.rakuten.co.jp/i-na/は、閉鎖状態です。
【04/06 21:08追記】
http://www.geno-web.jpおよび、http://www.geno.co.jp/ともに、
通常どおり再開されているようです。
右側にお詫び文が記載されています

さらに追記ですが、ごく一部のページにおいて、まだ危険性があるという情報がありました!!
【04/06 22:48追記】
その後、http://www.geno-web.jpおよび、http://www.geno.co.jp/ともに、
ウイルス検出報告されていたページは全て安全(ウイルス検出されない状態)になったようです。
www.rakuten.co.jp/i-na/は、通常状態です。
ただ、マルウェアの配布元サーバはまだ稼動状態にあるため、
もしかすると危険なページがまだ存在する可能性もあります。

[感染する可能性]
以下の条件に(一つ又は複数)当てはまる場合は、感染する可能性があります。
+ServicePack適用済みを含むWindows XP以下のOS
+InternetExplorer/Firefox/Opera/GoogleChrome/Safariなど主要ブラウザや、
  InternetExplorerのエンジンを使用したブラウザを使用している
+最新版で無いAdobe Reader(9.1以下のもの)をインストールしている
+最新版で無いAdobe Flashをインストールしている
以下の条件に(一つ又は複数)当てはまる場合は、
感染する可能性が低いか、感染しません。

+Windows Vistaを使用している
+ブラウザの設定でJavaScriptを無効にしている
+Adobe Readerをインストールしていない
+Adobe Reader互換ソフトウェアだけをインストールしてある
+Windows Updateおよびウイルス対策ソフトウェアが最新
+スタンドアロン(ネットワーク未接続)

[対策]
+OSおよび、AdobeReader、AdobeFlashPlayer、
 ウェブブラウザ、セキュリティソフトウェアを最新の状態に更新します。
+感染ウェブサイトへアクセスしないこと、
  感染ウェブサイトへ接続される短縮URLへアクセスしないよう、警戒が必要です。
+94.247.2.195(94.247.2.*、94.247.3.*)への接続を遮断してください(一時的措置)
+FirefoxならNoScriptアドインなど不正なJavaScriptコードを
 遮断できるセキュリティプログラムを導入するとより安全です。

[感染した場合の症状]
複数の異なるのマルウェアがダウンロードされる可能性があるので、
これは一例です。
コマンドプロンプトを起動していないにもかかわらず、cmd.exeが動作していて
特に何もしていなくともCPUの使用率が50%以上となります。
(タスクマネージャのプロセスなどで確認可能) さらに、ブラウザがクラッシュします。
また、94.247.2.195というアドレスに通信を行っている場合は、
マルウェアがPCの情報をリモートサーバに送信中である可能性があります。
(netstatコマンドなどで確認可能)
cmd.exeのほかにも、taskmgr.exe、svchost.exe、systemld.exeなどである可能性があります。

[感染した場合の措置]
全体のリストア、OSのリカバリもしくは再インストールしか方法がありません。

追加情報があり次第、書き換えます。(最終更新:09/04/07 00:31)
特に時間比の表示が必要な場合は日時をつけて追記と記載します。
(これらの情報は、Web上で公開されている情報をまとめたものであり、情報の正確性などについて一切の責任を負いません。)

【04/07 00:31追記】
そろそろ落ち着いてきたようですので、
速報的な追記はこれで辞めにしようと思います。(多分。)
但し、また何かあったら書くかもしれません。


スポンサード リンク



コメント

    コメントの投稿


    (投稿者様のEmailアドレスが一般に公開表示されることで
    メールスパムの標的となってしまう事を防ぐために
    本項目はご入力いただいた場合も原則非表示としております。
    当ブログ管理人にEmailアドレスを伝えたい場合や、
    差し支えが無い場合にご入力ください。)
    (コメント編集・削除に必要)
    (管理者にだけ表示を許可する)

    トラックバック

    この記事のトラックバックURL
    http://masapiyo.blog53.fc2.com/tb.php/484-a29682b4
    この記事へのトラックバック
    Creative Commons License
    Masanoriのマイペース。なブログ by Masanori is licensed under a Creative Commons 表示-非営利-継承 2.1 日本 License.

    最近の記事

    上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。