読者です 読者をやめる 読者になる 読者になる

せーブログ

買物する際にお得かどうか調べちゃうくせに後で同じ事を調べ直してばっかり。なので記録を残す事に。似た状況の人の轍になれれば

Live Security Platinum感染

社内のPCでウイルス感染の報告があった。Live Security Platinumってやつ。感染したPCは

  1. ウイルスバスターのアイコンが通常と異なって
  2. ウイルスバスターだけでなくあらゆるアプリが起動不可

な状態に陥っていた。しかもその間にLive Security Platinumなる偽セキュリティソフトがウイルス感染報告を出し続けるっていう。画面はこんな感じ。

感染者に対する周囲の反応は

  1. まーた怪しいサイトを見てたんだろう?
  2. ウイルスバスターが効かないって問い合わせた方が良くない?

みたいにノンキだったのでまとめる事にした。

問題の再確認

怪しいサイトを見てたせい

という認識。これは誤解でこの誤った認識のままでいると被害を受ける。過去に発生したGumblar(ガンブラー)というWeb感染型ウイルスは以下のような大手企業のサイトで感染していた。

日本の大手企業のウェブサイト(JR東日本・ホンダ・ローソン・京王グループハウス食品など多数)における改ざん被害が拡大

Gumblar - Wikipedia

これらのサイトを怪しいサイトと呼ぶ人はいないわけでこの点の認識を改めないとやはり感染してしまう。

ウイルスバスターで防げなかった

という問題。トレンドマイクロのサイトにはちゃんと情報がある。駆除方法・アンインストール等は他にも色んな情報がネットに存在しているがここを見て解決するのが良さそうだ。

[Malware]は、以下のウィンドウを表示し、ユーザに偽セキュリティソフトの購入を促します。
Live Security Platinum

TROJ_FAKEAV.ICZ | 危険度: 低 | トレンドマイクロ:セキュリティデータベース

でも防げなかった。一方でシマンテックはGumblarを未然に防いだとも聞く。

ただし、対処法がなかったわけではない。シマンテックのセキュリティソフト「ノートンインターネットセキュリティ」と「ノートン360」が搭載するIPSは、アドビ製品の脆弱性を利用する攻撃への対処を2008年11月には済ませていた。そのため、両製品を利用しているユーザーは、改ざんされたWebサイトにアクセスしても、攻撃者のサイトにリダイレクトされることはなかったという。また、万が一攻撃者のサイトにアクセスしても、脆弱性を利用する攻撃による被害を受けない状態だったという。

ASCII.jp:まさに手練の賭け師!Gumblarウイルスの実態を暴く

ウイルス対策ソフトの仕組みがよくわかっていないが普段から頻繁にウイルスに対して目を光らせているとPC自体が重くなりそうな気はする。厳重な監視とPCパフォーマンスのトレードオフの為に推奨設定では監視が効いていなかったのかな、とは思う。この辺りはもうちょっと調べる。

Live Security PlatinumやGumblarのようなドライブ・バイ・ダウンロードなウイルスをデフォルトで防いでくれるウイルス対策ソフトは以下がある模様。

【送料無料】【期間限定送料無料】キヤノンシステムESET NOD32アンチウイルス V5.2 WIN/MAC コ...

キヤノンシステムESET NOD32アンチウイルス V5.2
価格:3,080円(税込、送料込)

ノートン インターネットセキュリティ2012 OEM(総合セキュリティ対策・1年間1台のパソコンに使...

ノートン インターネットセキュリティ2012
価格:2,990円(税込、送料別)

Kaspersky Labs Japan カスペルスキー アンチウイルス 2012 1年3台版

カスペルスキー アンチウイルス 2012 1年3台版
価格:2,490円(税込、送料別)

追記

防げなかった理由についてそういう仕様なのかどうか尋ねたところ、

7/12に発見されたウイルスなのでパッチが間に合っていない可能性があります

との事。確かに上記該当ページの発見日は2012年07月12日だ。けどマニュアルを見ると初期設定ではサーバーのアップデートは1時間ごとになっていてウチの環境もそれ。07/19に感染してるのだから辻褄が合わない・・・。別で脆弱性対策した方が良さそう・・・。

追記2

ドライブバイダウンロードはJRE(java実行環境)やAdobe製品の更新で防げるケースが多いようなので書きました。

ドライブバイダウンロード対策