記事検索

マイクロアド広告サーバーが改ざん、Impress Watchほか複数メディアで影響


 株式会社マイクロアドは25日、同社の広告配信サーバー「VASCO」の一部バージョンが外部からの攻撃を受けて改ざんされ、配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性があると発表した。

 マイクロアドによると、該当する広告配信サーバーは100社以上が導入しているが、影響を受けた企業やユーザー数については現在調査中であるという。また、導入企業については非公開としているが、27日午後1時現在、毎日.jp、Impress Watch、GIGAZINE、Slashdotなどのウェブメディアが改ざんの影響を受けたと発表している。

 広告配信サーバーが改ざんされていたのは9月24日21時半ごろから9月25日1時過ぎごろまで。この間、広告が含まれるページを閲覧したユーザーは、悪意のあるサイトに誘導され、偽セキュリティソフト「SecurityTool」に感染した恐れがあるという。

 SecurityToolはインストールされると、正規のセキュリティソフトのような画面を表示し、大量のウイルスが検出されたように見せかける。駆除しようとするユーザーに対しては有料会員への登録を促し、クレジットカード情報などを入力させようとする。

 マイクロアドは該当するユーザーに対して、ウイルス対策ソフトを最新の状態にしてスキャンを実施するか、セキュリティ各社のホームページにあるオンラインスキャンを利用するよう呼びかけている。

 例えば、トレンドマイクロではSecurityToolを「TROJ_FAKEAV.STL」として検出しており、対応方法を以下のように説明している。なお、対応方法にはレジストリの編集が含まれているため、レジストリの編集前には必ずバックアップを作成することを推奨している。

 1)この不正プログラムのファイル名を確認します。
 最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_FAKEAV.STL」で検出したファイル名を確認し、メモ等をとってください。ここで確認したファイル名を以下の手順で使用します。

 2)メモリ上で実行されている不正プログラムのプロセスを終了します。
 下記方法でタスクマネージャーを起動し、手順1)で確認した名称のプロセスを終了します。
  ・Windows 98/ME の場合CTRL+ALT+DELETEを押します。
  ・Windows NT/2000/XP/Server 2003 の場合CTRL+SHIFT+ESCを押します。

 3)タスクマネージャを終了します。

 4)不正プログラムが追加したレジストリキーを削除します。
 以下のレジストリキーを削除してください。レジストリキーの削除方法はこちらをご覧ください。
  キー:HKEY_LOCAL_MACHINE\SOFTWARE\<不正プログラムのファイル名>

 5)不正プログラムの変更したレジストリ値を修正します。
 以下のレジストリの値を修正してください。レジストリ値の修正方法はこちらをご覧ください。
 場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 値(修正前):<不正プログラムのファイル名>= "<Application Data>\<不正プログラムのファイル名>\<不正プログラムのファイル名>.exe"
 値(修正後):<不正プログラムのファイル名>= ""

 6)Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、この不正プログラムが作成した以下の不要なフォルダを検索し、検出した場合は削除してください。
 * <Application Data>\<不正プログラムのファイル名>

 7)Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて]を選択)などを使用して、この不正プログラムが作成した以下の不要なファイルを検索し、検出した場合は削除してください。
 * <デスクトップ>フォルダ\Security Tool.lnk -自身のコピーへのリンク
 * <User Profile>\Start Menu\Programs\Security Tool.lnk - 自身のコピーへのリンク

 (註: <デスクトップ>フォルダは、Windows 98 および MEの場合、通常 ""C:\Documents and Settings\<ユーザ名>\デスクトップ"" です。 Windows NTの場合、""C:\WINNT\Profiles\<ユーザ名>\Desktop""、Windows 2000, XP, Server 2003の場合は ""C:\Documents and Settings\<ユーザ名>\Desktop"" です。)

 (註:<User Profile>フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

 8)最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。この不正プログラムは「TROJ_FAKEAV.STL」と検出されます。検出したファイルはすべて削除してください。

 9)全ドライブ検索を行い何も検出されなければ、処理は完了です。


関連情報

(増田 覚)

2010/9/27 13:44