「悪意のあるソフトウェアの削除ツール」をどのように使うのだろう? という疑問をもだれる方がいるのですが、バックグラウンドで実行されます。
Microsoft の「悪意のあるソフトウェアの削除ツール」というのは、「Microsoft Update および Windows Update から提供されるバージョンのツールは、バックグラウンドで実行され、感染が見つかった場合に報告を行います。このツールを月に 2 回以上実行するには、この Web ページにあるバージョンを使用するか、ダウンロード センターで入手できるバージョンをインストールしてください。」
何やら新たな攻撃が始まっているようです。特徴を掴まえておこう。「Javaの脆弱性を悪用している」とありますから、Javaを最新のものにしておいた方がいいかもしれません。
国内100社以上で感染、「mstmp」などのファイル名で拡散する不正プログラム -INTERNET Watch
トレンドマイクロ株式会社は22日、「mstmp」や「lib.dll」といったファイル名で拡散する不正プログラムが出回っているとして注意喚起した。同社には14日以降、日本国内の企業100社以上から感染被害の報告が寄せられており、日本を標的とした攻撃である可能性も考えられるという。
トレンドマイクロによれば、攻撃の大まかな流れは以下の通り。
1)ユーザーが改ざんされた正規ウェブサイトを閲覧
2)正規サイト内に仕掛けられたコードによって不正サイトへリダイレクト
3)不正サイトから、Javaの脆弱性を悪用する不正プログラム「JAVA_AGENT.P」「JAVA_AGENT.O」をダウンロード
4)「JAVA_AGENT.P」「JAVA_AGENT.O」が「TROJ_DLOAD.SMAB」をダウンロード
5)「TROJ_DLOAD.SMAB」が「TROJ_DLOAD.SMAD」を作成
6)「TROJ_DLOAD.SMAD」が「TROJ_DROPPER」ファミリーの不正プログラムをダウンロード
7)「TROJ_DROPPER」ファミリーの不正プログラムが「TROJ_EXEDOT.SMA」を作成
8)さらに、「TROJ_EXEDOT.SMA」が不正なウェブサイトへ通信
「配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性がある」ということです。最近、この手の攻撃・トラブルを何回か見たような気がします。管理会社にはしっかり管理してもらいたい。「SecurityTool」に感染というのは、前に このブログで取り上げ ています。
マイクロアド広告サーバーが改ざん、Impress Watchほか複数メディアで影響 -INTERNET Watch
株式会社マイクロアドは25日、同社の広告配信サーバー「VASCO」の一部バージョンが外部からの攻撃を受けて改ざんされ、配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性があると発表した。
マイクロアドによると、該当する広告配信サーバーは100社以上が導入しているが、影響を受けた企業やユーザー数については現在調査中であるという。また、導入企業については非公開としているが、27日午後1時現在、毎日.jp、Impress Watch、GIGAZINE、Slashdotなどのウェブメディアが改ざんの影響を受けたと発表している。
広告配信サーバーが改ざんされていたのは9月24日21時半ごろから9月25日1時過ぎごろまで。この間、広告が含まれるページを閲覧したユーザーは、悪意のあるサイトに誘導され、偽セキュリティソフト「SecurityTool」に感染した恐れがあるという。
SecurityToolはインストールされると、正規のセキュリティソフトのような画面を表示し、大量のウイルスが検出されたように見せかける。駆除しようとするユーザーに対しては有料会員への登録を促し、クレジットカード情報などを入力させようとする。
マイクロアドは該当するユーザーに対して、ウイルス対策ソフトを最新の状態にしてスキャンを実施するか、セキュリティ各社のホームページにあるオンラインスキャンを利用するよう呼びかけている。
例えば、トレンドマイクロではSecurityToolを「TROJ_FAKEAV.STL」として検出しており、対応方法を以下のように説明している。なお、対応方法にはレジストリの編集が含まれているため、レジストリの編集前には必ずバックアップを作成することを推奨している。
正規のウェブサイトの改ざんによる「ガンブラー攻撃」でダウンロードされることが確認されている、ということで、ガンブラー攻撃が引き続き行われていることに注意です。偽セキュリティソフト「SecurityTool」の画像を良く確認しておくことが大事です。
日本語など25言語で表示する偽セキュリティソフトが見つかる -INTERNET Watch
日本語を含む25言語の表示に対応した偽セキュリティソフト「SecurityTool」が見つかった。トレンドマイクロ株式会社が5日に発表した、7月の「インターネット脅威マンスリーレポート」で明らかにした。
SecurityToolは、コンピューターの言語環境に合わせて表示言語が変わるのが特徴。メイン画面だけでなく、Windowsのバルーンチップの内容も変化するなど、「手の込んだものとなっている」。
偽セキュリティソフトは以前より、英語版が流通してから、さまざまな言語に翻訳されたものが出回る傾向があった。SecurityToolについても、英語版が2010年1月に確認されていた。
トレンドマイクロによれば、SecurityToolは、正規のウェブサイトの改ざんによって不正プログラムに感染する、いわゆる「ガンブラー攻撃」でダウンロードされることが確認されているという。
なお、SecurityToolは、セキュリティソフトを装うトロイの木馬「TROJ_FAKEAV」として検知されている。トレンドマイクロが発表する不正プログラム感染被害報告数ランキングでは、3月から5カ月連続でTROJ_FAKEAVがランクインしている。7月には17件の感染被害が報告された。