1.GENOウイルス騒動の補足[web制作]
(2009-04-19 17:56:06)


2ちゃんねるのGENOウイルススレ ★2でご紹介いただきまして、多くの方にお越しいただいておりますので、もう少しGENOウイルスについて、小生が把握している補足的な情報をメモしておきたいと思います。

まず基本的なパンデミックの経路ですが

  1. GENOウイルスによって改ざんされたサイトにアクセスしたユーザーが気付かないうちに、不幸にもラトビアなどにあるGENOウイルス散布サイトへアクセスしてしまい感染。この際system32フォルダの中がぐちゃぐちゃに書き換えられる他、cmdやregedit、ディスクライティングソフトが起動できないようにされてしまう。またFTP通信をモニタするプログラムが常駐する模様。
  2. 感染したPCからFTP経由でwebサイトを更新している場合、ウイルスはFTP経由でweb上のファイルを改ざんを試みる。成功した場合、上記1.の拡散サイトが新たに誕生する。なお、ウイルスはFTP通信する際に接続元のIPを偽装またはproxy経由でアクセスするため、FTPのログには海外から正規のID/パスワードを使ってログインされたように記録される。常套と言えば常套、巧妙と言えば巧妙。
  3. 上記の2.で改ざんされたサイトにアクセスしたユーザーが...(1.に戻る)

こんな感じかと思います。小生が管理するサイトが改ざんされたのは、11日土曜日の早朝5時ごろ。この時間、小生の仕事場のPCは電源が落ちておりましたし、小生はレッドクリフpart2にガッカリして確実に寝ておりましたので第一次の改ざんには間違いなく関与しておりません。が、100%外部からやられたのかと言えばそうとも言い切れず、全国にある小生の会社の拠点のどこかしらが感染・改ざんに至った可能性もあるわけです。もっとも、土曜日の早朝なのでどこかで誰かが更新作業をしていたというのは、やや薄い線です。あるとすれば、数箇所に設置しているサーバーが自動で毎日FTP経由にてログを取得しに行っているという部分が怪しいでしょうか。ただ、サーバーはいずれもLinuxであり今回のウイルスとは無縁であるようにも思えます。VMwareなどがインストールされていてその上でwindowsが走っていてそいつが感染している...って話ならあり得るのかも知れませんが。また、お恥ずかしい話ではありますがここ最近退職した人間でも、自宅などからアクセスしようと思えばできる状態にあったので、その辺の可能性も排除はできません。

応急処置として今回、FTPサーバーへのアクセス許可を特定のIPのみからに限定して他をシャットアウトすることにしました。同時に社内の関係各所へウイルスの有無をチェックするように依頼し、サーバーへアクセスするすべてのID/パスワードをリセットしました。また特定のファイル(/app/congif/以下や/js/以下など日常的に更新することが無く且つウイルスの餌食になりやすいもの)を監視して更新があれば即メールで通知するようにしています。今のところ、5日間ほど何事も無いです。

残念ながら、今回のウイルスの性質上、改ざんされるwebサイトはまだしばらく増え続けるものと思われます。ユーザーができる防衛策としては、上記のスレッドなどでも紹介されていますし、加えて小生からはwebページの閲覧にchromeを使用することをオススメしたいと思います。chromeでは今回の改ざんに遭ったサイトまたは問題のコードを早い段階から検知して、アクセスしようとすると警告文と共に通信をカットできていた模様です。また、今現在では概ねアンチウイルスソフトでの対応ができているようなので、最新の状態を保ちつつ怪しいメッセージが出るようなサイトには深追いせずすぐに逃げるのが宜しいかと思います。

何よりも感染に遭ったことを心より恥じつつ、この話題について小生が触れるのは一旦ここまでにしたいと思います。

1/419

コメント投稿
次の記事へ >
一覧へ戻る

Powered by
MT4i 3.0b3