ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫全体表示

 JR東日本、ラジオ関西、ホンダ自動車、信越放送、ローソン、京王電鉄、民主党東京都総支部、モロゾフ、野村不動産、ハウス食品など、これらの改ざん被害でページに埋め込まれた不正なコードは、日本のサイト改ざんウォッチャー(?)から「8080」と呼ばれているものです。
 ページに埋め込まれた不正なコードによって導かれるURLアドレスが「http://*****.ru:8080/ 〜」となっていて、そこからウイルスなどが降ってくるのに由来します。

 ただ、様々なメディアで今回の改ざんを「ガンブラーウイルス」(の亜種)として紹介してる影響か、昔の古い情報や対策方法をのせてしまってる個人ブログも結構多い感じです。誤った情報を鵜呑みにして被害に巻き込まれては困るので、いくつかピックアップしときます〜。 :)

× 単にウイルス対策ソフトを導入すればよい
 今回の改ざんでウイルスの発動手段としてソフトウェアの脆弱性(ぜいじゃくせい)を悪用するので、まず最初にそれをふさがないと根本的な対策になりません。ウイルス対策ソフトは、ソフトウェアの更新などを代わりに行ってくれません。(⇒ ウイルスの発動を回避する6つの対策を必ず!)

× 単に「Adobe Flash Player」と「Adobe Reader」を最新版にすればよい
 今回の改ざんで「Adobe Flash Player」は現時点で悪用されてません。(ただ、他の改ざんで悪用されまくってるので最新版にしてください)

 そして、「Adobe Reader」は、現在最新版にしただけでは解決しません。ゼロデイ攻撃の状態となっていて、最新版で対処されてない脆弱性を悪用する処理が含まれてます。この回避策として、設定でJavaScript機能を無効に切り替える必要があります。
(追記... 2010年1月の更新により解消されましたが、JavaScript機能の無効状態は継続することをお勧めします)

 あと、今回の改ざんで「Java」も悪用されるので、これを最新版にすることが必須です(名前が似てる「JavaScript」とは別モノ)。導入した覚えがなくても、パソコンを購入した時点であらかじめ導入されてる場合があります。(不要なら「アプリケーションの追加と削除」で削除してしまうのも手)

× 感染の確認方法は、sqlsodbc.chmのサイズ確認、regedit.exe/cmd.exeの起動確認・・・
 これは去年の2009年5月に起こったサイト改ざんの時に提案された古い方法です。たとえば「GENOウイルスまとめ」(www29.atwiki.jp/geno)というサイトは去年の5月以来まったく更新されてないので、ほとんど通用しません。
(追記 ... 2010年1月にページが更新され、いちおう最新の情報が掲載されます)

 現在確認されてる主な現象は、「siszyd32.exe」というファイルが居座るということです。

× ページが改ざんされてるか確認するには「GENOウイルスチェッカー」
 このオンラインチェッカー(geno.2ch.tc)は何の役にも立ちません。このサイトも去年の2009年5月以来まったく更新されておらず、この改ざんによる不正なコードはいっさい検出できません。
 今回の不正なデータが埋め込まれたページをチェックしてみると、「安全なURLです。踏んでも大丈夫でしょう。」という結果が必ず返ってきます。

× 利用してるインターネット閲覧ソフトはFirefoxやOperaなので問題ない
 悪用されるソフトウェアとして「Adobe Reader」と「Java」が含まれるので、利用してる閲覧ソフトの種類は関係ないです。Windowsパソコンを利用する全ユーザーがウイルス攻撃のターゲットになってます。

 いちおう影響がないといえる環境は携帯電話、Mac、Linuxです。

× 日本を標的としたサイバーテロだ
 日本のサイトだけを狙ったテロではありません。言語関係なく世界中のサイトが被害を受けてます。サイト管理者のパソコンが、FTPアカウント情報(パスワード)を盗むウイルスに感染したのが原因です。


Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起 (JPCERT/CC)
新手の正規サイト改ざん(2):一般ユーザーの方、サイト管理者の方へ (So-net セキュリティ通信)

この記事に

  • 顔アイコン

    いつも楽しく拝見させていただいております。
    オートラン対策みたいにsiszyd32.exeファイルを先にダミーで作っておくなどは意味ないでしょうかね。
    コードが「/*GNU GPL*/」から「/*LGPL*/」に変わったそうでカスペもavastもWEB検知が無効なようです。
    さらにウイルスがリモートで改良されるようでウイルストータルで同じファイルが新しいウイルスと認識とのこと。

    嫌な予感がします。 削除

    [ 研究者 ]

    2010/1/8(金) 午前 10:01

    返信する
  • 顔アイコン

    書き込みどうもです〜。
    こんだけ騒ぎになる前、「siszyd.exe」というファイルが住み着く症状が報告されていて、ファイル名は攻撃者の気まぐれ(?)で変わってきてるようなので難しいでしょうねぇ。

    [ noooo_spam ]

    2010/1/8(金) 午後 10:56

    返信する
  • 顔アイコン

    対策がどこかにまとまっていないかなと探していたらたどり着きました。
    とってもわかりやすくまとまっていて、大変助かりました。 削除

    [ へもけ屋 ]

    2010/1/14(木) 午後 7:47

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(1)

本文はここまでですこのページの先頭へ
みんなの更新記事