ガンブラーの脅威
今年の正月あたりに、JRやYahooのサイトが更新用PCがガンブラーに感染したことによって更新に必要な情報が漏れ、改ざんされたというニュースがありましたが、
知人も最近ガンブラーによって改ざんされたと思われるサイトをみてしまい、ほぼすべてのアイコンやプログラムが正しく動作せず次々と「Security Tool」と書かれた偽のウィルス検知ポップアップが出現して、駆除が困難な状態に。
あれこれ試しましたが、もう初期化した方が早そうな感じです。
改ざんされているサイトを初めて実際に見たのですが、
サイトの最後の</html>以下にあやしい大量のスクリプトが書かれていました。
今回の事例では、
1、とある業者の「Webを見るときに内容をチェックする機能を持つ製品」を使っていたのに感染した
2、同じページを見た人が他にもいるが、感染していない人がいる。感染した人はウィルスが検出されたというポップアップが
出て、それをクリックしてしまったと言っていた。
3、</html>以下埋め込まれているスクリプトは一見めちゃくちゃな文字列に見える
ということがありました。
Web閲覧時にチェックするようになっていたのにそのチェックが働かなかったというのは、</html>以下に仕込まれたスクリプトが
何だか分からないように「難読化」されていたというのが理由のようです。
一見、意味のない文字列のようですが、それを解析すると、あるサイトへ誘導するための文字が浮かび上がってきます。
この辺りはもうドラマか何かの暗号解読の世界な感じです。
あと、感染した人としなかった人の違いは、確認できたところでは、InternetExplorerの「ポップアップブロック」を有効にしていたかどうかということがありました。
WindowsXPSP2以降では、InternetExplorerに「ポップアップブロック」というのがデフォルトで有効になっており(デフォルトでは中程度のブロックレベル)、
ポップアップが勝手に開かないようになっています。
そのため、その機能が無効になっていた人が偽のウィルス検知ポップアップをクリックしてしまいその結果PCが感染したということのようです。
InternetExplorerのポップアップは「ツール」メニューから設定できるので、現在無効にしている場合は絶対に有効にしておいた方がいいと思います。
ActiveDirectoryを運用しているなら、グループポリシーでポップアップブロック設定をユーザが操作できないようにすることも可能なようです。
グループポリシーの編集→
ユーザーの構成→管理用テンプレート:ローカルコンピュータから取得したポリシー定義(ADMX)ファイルです→Windowsコンポーネント→InternetExplorer→ポップアップフィルタレベルの管理を無効にする を「有効」にする。
ブロックレベルの指定はできない?
あと、AdobeのReaderやFlashのバージョンももしかしたら低かったかも。というよりこれらのバージョンが低いからそもそもポップアップするのか、ポップアップした時点で手遅れなのか・・・・さらに最近ではJavaのバージョンも問題になっているようです。DELL製のPCなんかには最初から普通に入っております。
Javaのアップデートはコントロールパネル→Java→アップデート ダブ→今すぐアップデートでアップデート可能です。
