Popular Posts(last24hours)

ガンブラーの脅威

※IT系の記事は当方環境での実施内容となるため実施する場合は自己責任でお願いいたします。

今年の正月あたりに、JRやYahooのサイトが更新用PCがガンブラーに感染したことによって更新に必要な情報が漏れ、改ざんされたというニュースがありましたが、
知人も最近ガンブラーによって改ざんされたと思われるサイトをみてしまい、ほぼすべてのアイコンやプログラムが正しく動作せず次々と「Security Tool」と書かれた偽のウィルス検知ポップアップが出現して、駆除が困難な状態に。
あれこれ試しましたが、もう初期化した方が早そうな感じです。
改ざんされているサイトを初めて実際に見たのですが、
サイトの最後の</html>以下にあやしい大量のスクリプトが書かれていました。
今回の事例では、

1、とある業者の「Webを見るときに内容をチェックする機能を持つ製品」を使っていたのに感染した
2、同じページを見た人が他にもいるが、感染していない人がいる。感染した人はウィルスが検出されたというポップアップが
出て、それをクリックしてしまったと言っていた。
3、</html>以下埋め込まれているスクリプトは一見めちゃくちゃな文字列に見える

ということがありました。

Web閲覧時にチェックするようになっていたのにそのチェックが働かなかったというのは、</html>以下に仕込まれたスクリプトが
何だか分からないように「難読化」されていたというのが理由のようです。
一見、意味のない文字列のようですが、それを解析すると、あるサイトへ誘導するための文字が浮かび上がってきます。
この辺りはもうドラマか何かの暗号解読の世界な感じです。
あと、感染した人としなかった人の違いは、確認できたところでは、InternetExplorerの「ポップアップブロック」を有効にしていたかどうかということがありました。
WindowsXPSP2以降では、InternetExplorerに「ポップアップブロック」というのがデフォルトで有効になっており(デフォルトでは中程度のブロックレベル)、
ポップアップが勝手に開かないようになっています。
そのため、その機能が無効になっていた人が偽のウィルス検知ポップアップをクリックしてしまいその結果PCが感染したということのようです。
InternetExplorerのポップアップは「ツール」メニューから設定できるので、現在無効にしている場合は絶対に有効にしておいた方がいいと思います。
ActiveDirectoryを運用しているなら、グループポリシーでポップアップブロック設定をユーザが操作できないようにすることも可能なようです。
グループポリシーの編集→
ユーザーの構成→管理用テンプレート:ローカルコンピュータから取得したポリシー定義(ADMX)ファイルです→Windowsコンポーネント→InternetExplorer→ポップアップフィルタレベルの管理を無効にする を「有効」にする。
ブロックレベルの指定はできない?

あと、AdobeのReaderやFlashのバージョンももしかしたら低かったかも。というよりこれらのバージョンが低いからそもそもポップアップするのか、ポップアップした時点で手遅れなのか・・・・さらに最近ではJavaのバージョンも問題になっているようです。DELL製のPCなんかには最初から普通に入っております。
Javaのアップデートはコントロールパネル→Java→アップデート ダブ→今すぐアップデートでアップデート可能です。

【PR】最近楽天で購入した商品

こちらもなかなかのボリューム。子供が綺麗に折り紙を折れるようになると、成長が感じられて、嬉しい。かんたん・かわいい・楽しい! 決定版 おりがみ大図鑑 大ボリューム!190作品がオールカラーでわかる! [...]

この手のやつは、いったいどういう仕組みで絵とペンの音声をマッチさせているのか不思議。もの凄いボリュームなので、子供も飽きずに楽しめます。音で学べる!英語ことば図鑑5000 タッチペンつき [ アレン玉 [...]

いつの間にか、黎明篇の続きが!前回で完結したとばかり思っていたので、これは嬉しい。そして、めちゃくちゃ面白い!宇宙戦艦ヤマト 黎明篇 第2部 マリグナント・メモリー [ 塙 龍之 ]価格:1,650円 [...]

Tips

Posted by admin