4月初旬あたりから、私の勤めているISPで特定の問い合わせが増えています。
- HPが改ざんされた
- Yahoo!ニュースや検索が開かない
共通してJSRedir-Rに感染しているような症状が出ています。
HP改ざんに関してはほぼ確定ですが、Yahoo!が開かない系は疑いの域ですが。
5/20頃からやっと各種ネットメディアでも取り上げられ始めたので、そろそろまとめてみます。
### ウイルスの特徴
Adobe Flash / Readerの脆弱性をついた攻撃をする。
不正なコードを挿入されたWEBページを開くと、自動的にウイルスが実行される。
感染するとFTP情報を盗み取られ、公開しているサイトが改ざんされる。
Google等の検索結果が改ざんされる等、インターネットの利用に支障が出る。
### 予防方法
Windows Updateを行う。
Adobe Flash / Readerを最新版にする。
→Flash Playerの[バージョンチェックはこちらから](http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm)できます。
Adobe ReaderのAcrobat JavaScriptをOFFにする。
→[編集]>[環境設定]>[JavaScript}>「Acrobat JavaScriptを使用」のチェックを外す
ブラウザ(IEやFirefox等)のJavaScript / ActivXをOFFにする。
最新の不正コードは、Google Chromeを除外する設定になっています。
そのため、ブラウザをGoogle Chromeに変更するのも方法のひとつですが、古いコードに対してはあまり有効ではないかもしれません。
過信は禁物です。
### 感染確認
1. [スタート]>[ファイル名を指定して実行]を開く
2. 名前に「regiedit」と入力して[OK]
3. 画面が開けば感染の疑いは薄い、開かなければ感染の可能性が高い
4. 画面が開いたなら、特に触らずに閉じる(下手に変更するとPCが使えなくなる可能性があります)
### 感染していた場合は・・・
PCのリカバリーをして、ウイルスを完全に駆除します。
([レジストリを書き換えて駆除する方法](http://my.opera.com/us36/blog/2009/04/13/geno)もありますが、ローカルファイルも改ざんされているのでどうなのかなぁ・・・)
リカバリーが終わったら、すぐにWindowsUpdateとブラウザ/Flash Player/Adobe Readerのバージョンアップをします。
Webサイトを公開している人は、すぐにFTPパスワードを変更します。
そして、公開しているサイトの全ページをチェックして、以下のようなコードがあれば削除してアップロードします。
<script language=javascript><!-- (function( <中略> ).replace(○,%)))}) --></script>
### JSRedir-Rの現状
今はやや落ち着いたのですが、まだ十分勢いがあります。
正式に感染が報告されたのは4月なのですが、私の感覚では1月末あたりから発生していた可能性もあるんじゃないかなと思っています。
今後また大流行したときに備えて、対策は十分行っておきましょう。