■実例編1 見ただけで感染する非常に危険なタイプ!



ブログやホームページなどでよくある広告




このように上に付いていたりするものです。
無料レンタルサーバーなどを使うと勝手に付けられちゃうものなんですが・・・・・・


これもウイルス感染経路の一つとなってしまいました。


通常、普通の人が開く無料のホームページ




このような感じで、サーバーレンタル会社から場所を借りるかわり広告を
表示することが義務付けられています。


しかし今回のケースは、無料サーバーレンタル会社がハッキングされ




広告が改造されてしまい、ホームページを見た読者のPCが
ウイルスサイトへ自動アクセスし、知らないうちにウイルス感染してしまうことがありました。


このケースでは広告を表示するソフト「FLASH Player」(ほぼ全てのパソコンに入っています)
バージョンが古かったために攻撃されてしまいました。


今すぐに最新版の「FLASH Player」にバージョンアップして下さい。



また、広告を用いないでブログの一部を改変して、ウイルスサイトにアクセスさせる
ケースもありました。


これは「Windows Update」を行うことで解決できます。




いずれのケースでも



「見た目にはハッキングされているページとは分からない。

なのにいつの間にか感染していた。」



ということが共通点として挙げられますので、いま最も注意するべきケースです。





■実例編2 こんなブログが危ない!!







■こんなコメントにも落とし穴が!?



・【要注意】他人のコメントを勝手にコピペしているケース




※実際にマイケルサイトに貼られた例


※一般の人が前に付けたコメントをコピペしてURLを貼り付けているケース。(気づかなかった。)


一見しただけでは分かりませんが、他人のコメントを勝手にコピペ
もっともらしいコメントを書いています。このようなコメントにも罠サイトへの
リンクが貼られていることがあります。見分けが付きにくいので要注意です。

-------------------------------------------------------------

・【注意】日本語や英語だが意味が通じていないケース


*実際にマイケルサイトに貼られた例(再現)

本文と全く関係なかったり、意味が通じてなかったりするコメントにも要注意です。






■実例編3 こんな掲示板が危ない!!









※実際に張られている例

ブログよりは用心すると思いますが、このような投稿もだいたい危険URLへ
飛んでいくので要注意です。長らく管理されていない掲示板も危険URLの
温床となっているケースがほとんどです。





■実例編4 こんなメールやmixiなども危ない!







※実際に送られてきた例。playenlineという紛らわしいアドレスを使用している。

メールではかなり古典的な手法なので引っかかる人はいないと思いますが、
手を広げてきているので要注意です。

また最近はmixiなどでも報告が上がってきているので、
mixiも安全ではない、ということを心に留めておいて下さい。





■リンク先に飛ぶとどうなるの!?





*例:白紙のページ

最近よくあるのが飛ぶと「白紙」のケース。もちろんこれは一例にすぎないですが



[ソースを表示] でページの中身を見ても、何も怪しくない。
これで安心してはいけません。


ソースチェッカーオンラインという実際の中身を調査できる
サイトでURLをチェックしてみると・・・


実際の中身は




*例1(実行文を記号化し、何を行っているか分かり難くしている)


*例2(怪しげなプログラム server.exe を実行しようとする)


実際の中身は<SCRIPT>で始まる、危険なプログラムの実行文が書かれています。
ちなみに<SCRIPT>以下の文章はブラウザでは見ることが出来ません。

対策が不十分なPCの場合、リンク先に飛んだだけでウイルスに感染してしまう
ことがあります。





■予防方法は?



ネットに繋いでいるPCは最低限

WindowsUpdateをこまめに行う。
・信頼できるホームページ/ブログでもよく確かめてからリンク先に飛ぶ。
・怪しいFF11のツールは使わない。

を行って下さい。

さらに

・ウイルス対策ソフトを導入する
・(導入されていない人は)ルーターを導入する。(※)

まですれば、大部分のウイルス被害を防ぐことができます。

(※)自宅のネットワークにルーターが入っているかどうかは、インターネットに繋ぐ時に
送られてきた機器や資料などを参照して下さい。「ルータ」もしくは「ルーター機能」(例)などと
書かれていればルーターです。

また心配な方は

Ad-AwareSpybotなどのスパイウェア対策ソフト(無料あり)を導入してみる

ことも検討してみるとよいかと思います。





■感染してしまった?



URLを踏んで感染してしまったんではないか・・・?と思う方は念のため
以下セキュリティチェックを試してみて下さい。

Symantec セキュリティチェック
トレンドマイクロ オンラインスキャン

を実行してみることを強くお勧めします。ただしこれらは一時的なものです。
製品版も年間4000円程度なので、「安全」を手に入れるためにも導入検討してみて下さい。

*Avast!という無料のウイルスソフトもあります。(検出率にやや差があるようです。)


念のためプレイオンラインのパスワードの変更もオススメします。



※「サービス&サポート」→「会員情報」→「任意の項目を選択して下さい」から「プレイオンラインパスワードの変更」
を選択する。




■危険なURLをチェック!



*危険なドメイン一覧 (リネージュ資料室 さん)
リンク先のURLを確認し、危険リストに含まれる文字列があったら注意しよう!

【報告があったり、過去にFF11サイトに貼られたりした危険なドメイン】
homepage-nifty.com
jklomo-jp.com
******-fc2web.com/
sakerver.com
mbspro6uic.com
www.k5dionne.com
flipcjip.net


日々、新しいサイトが現れるのでブログの報告以下のサイトで安全かどうかを確かめて下さい。


aguseというサイトでURLを入力すると、サーバーの位置情報が出ます。



*上記URLを調べた例

日本国内以外のサーバーの場合、注意した方がいいでしょう。
特に交流していない限り、日本のサイトに海外から、特に正式サービスを行っていない国から
リンクを貼られるケースはまずありません。






■サイト・ブログ管理者へ



最近、常にリンクを張られて困っているという方は
サイト、ブログにより異なりますが以下のように防御してみて下さい。

・コメントの投稿を「事前承認制」にする。(一番効果あり)
・リンクを貼れない様にする。(できれば避けたい)

※「外国からのアクセスを規制する」は一時有効でしたが、最近は
ODN(ソフトバンク系)のような国内から貼っているケースもあり、
規制してしまうと一部の善良な国内ユーザーも見られなくなってしまいます。
同様に、IPで規制しても相手のIPが変動することも多いのでイタチごっこになってしまいます。



※コメントの事前承認設定。(livedoorブログの例)





ブログへ戻る





※以下は技術的な話



紹介したウイルスはVBScriptの脆弱性を狙ったものっぽいです。
最初***.homepage-nifty.***/wiki/に飛ぶと、server.exeというファイルが実行され
トロイを送り込んでくるようです。
escape関数とやらでエンコードされてたので分かりにくくなってます。
普通にWindowsUpdateしていれば実行自体されてないみたいですが、念のため・・・。

※参考Web
ROアカウントハック対策スレのまとめサイト
Javascriptのescape関数で判読を難しくする

VBS/Psymeについて
※以下引用
--------------
Psyme(サイミー)自体、亜種の多いウイルスのため、定義がいまいち良く分かってませんが、
今現在中華がメインで使っているタイプということに限定した場合、
以下のActiveXコントロール5種@〜DをVBScript(またはJScript)により生成し、
任意のファイル(大抵の場合Maran系トロイ)をダウンロードし、実行するというものです。

@ RDS.Dataspace (A〜Dを生成します)
→A Microsoft.XMLHTTP (サーバーからファイルをダウンロードします)
→B Adodb.Stream (ダウンロードしたファイルをCのパスに保存します)
→C Scripting.FileSystemObject (%TEMP%パス名を取得します)
→D Shell.Application (Bが保存したファイルを実行します)
※@はクラスID名(BD96C556-65A3-11D0-983A-00C04FC29E36)でスクリプト内に埋め込まれています
 
@が親玉だと思ってください。A〜Dは@の子として生成されます。これがミソです。
実際に悪さをするのはA〜Dなのですが、A〜Dを直接生成しようとすると
前スレ773に紹介したようなレジストリの設定により、生成が失敗する可能性があります。
そこで@なのです。@の子としてならレジストリの設定など無視して生成できてしまいます。

このセキュリティホールを塞ぐ修正パッチは約1年前にMicrosoftから出ています。それが、
「Microsoft Data Access Components (MDAC) の機能の脆弱性…(MS06-014)」になります。
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
(一部例外もありますがWindows Updateをしておけば、この修正パッチは勝手に当たります)

このパッチを当てておけばA〜Dの生成はみごとに全部失敗してくれます。
(@は相変わらず生成できますが、@だけでは何もできません)

前スレ773に紹介した方法では、中華VBS/Psymeは防げませんが、MS06-014のパッチを当てておけば防げます。
結論として「Windows Updateをしておけば問題なし」という点では変わりありませんのでご安心を。
--------------


※投稿者のIP
59.58.219.41 (CHINANET fujian province network)
この他に、ODN(ソフトバンク系)のプロバイダを利用しているケースあり。