maido3.com ホームページ改ざんに関するこれまでのまとめ
2009年5月19日午後10時20分更新
2009年5月4日午後4時30分、弊社ホームページ管理担当者が使用するパソコンがウィルスに感染し、
maido3.com ホームページが改ざんされた件につきましてご報告いたします。
今回、maido3.com ホームページの改ざんにより埋め込まれたコードは、
サイト訪問者のパソコンに対して外部サイトからウィルスやスパイウェアがダウンロードされるものです。
このため、以下の期間中に http://www.maido3.com/ から始まるURLをご覧になられた方のパソコンが
今回のウィルスに感染した恐れがあります。
お心当たりがございましたら下記の通りご確認いただけますようお願いいたします。
■ maido3.com へのアクセスによるウィルス感染の可能性について
感染の可能性がある期間:
2009年5月 4日午後4時30分〜2009年5月14日午後12時15分
■ 感染の確認方法
コマンドプロンプトの起動確認:
- Windows vista の場合
画面左下の「スタート」を開きメニューの一番下にある「検索の開始」と書かれた
テキストボックスに「cmd.exe」と入力して Enterキーを押してください。
- Windows vista 以外の場合
画面左下の「スタート」を開き「ファイル名を指定して実行」をクリックしてください。
表示されたダイアログボックスに「cmd.exe」と入力して Enterキーを押してください。
コマンドプロンプトが起動しない場合、感染の疑いが高いです。
レジストリエディタの起動確認:
- Windows vista の場合
画面左下の「スタート」を開きメニューの一番下にある「検索の開始」と書かれた
テキストボックスに「regedit.exe」と入力して Enterキーを押してください。
ユーザーアカウント制御が有効な場合は「続行」を押してください。
- Windows vista 以外の場合
画面左下の「スタート」を開き「ファイル名を指定して実行」をクリックしてください。
表示されたダイアログボックスに「regedit.exe」と入力して Enterキーを押してください。
コマンドプロンプトが起動しない場合、感染の疑いが高いです。
sqlsodbc.chm の確認:
- Windows vista の場合
C:\Windows\Help\mui にある sqlsodbc.chm を右クリップしてプロパティを開いてください。
mui の中に「4111」や「0409」がある場合はその中から探してください。
- Windows vista 以外の場合
C:\Windows\System32 にある sqlsodbc.chm を右クリップしてプロパティを開いてください。
正常な sqlsodbc.chm の情報
ファイルサイズ: 50,727バイト
CRC32: B61C7A80
MD5: F639AFDE02547603A3D3930EE4BF8C12
SHA-1: FBDD32ED13D27E4102621E1067FDF3634F33B2C3
|
ファイルサイズが 49.5 KB (50,727 バイト) 以外の場合、感染の疑いが高いです。
ウィルススキャンソフトによる検索:
ウィルス対策ソフト(無料版)
オンラインスキャン
■ 感染した場合の症状及び対応方法
ウィルスに感染したパソコンでは、このような症状が見られることが確認されています。
- sqlsodbc.chm が改ざんされる
- コマンドプロンプトやレジストリエディタが起動しなくなる
- ブラウザの動作が不安定になる
- コマンドプロンプトが自動的に実行される
- ウィルスに感染したパソコンが管理しているウェブサイトの改ざん
5月18日時点での情報では、このウィルスに感染した場合はパソコンの再インストールが望ましいとの事です。
続きまして、maido3.com ホームページ改ざんの経緯と対応についてご報告いたします。
■ maido3.com ホームページが受けた改ざんについて
今回 maido3.com ホームページで改ざんが確認されたのは拡張子 .html のファイルで、
HEADタグとBODYタグの間に難読化されたJavaスクリプトが埋め込まれるものでした。
このJavaスクリプトが埋め込まれたページにアクセスすると外部サイトから
ウィルスやスパイウェアがダウンロードされるものと思われます。
■ maido3.com ホームページの改ざんの原因について
これまでの調査の結果、maido3.com ホームページ管理者が使用するパソコンから
ホームページ改ざんの原因となるウィルスが発見されました。
ウィルスが発見されたパソコンはネットワークから切り離し、OSのクリーンインストールを行いました。
■ maido3.com の対応
弊社では今回のウィルス感染につきまして以下の対応を行いました。
- maido3.com ホームページの新サーバーへの移転
- 弊社無料サービス全サーバーのFTPパスワードを変更
- 感染が確認されたパソコンのクリーンインストール
maido3.com ホームページの再開後、毎日 maido3.com 以下全ページのソースチェックを行い、
不正なスクリプトが含まれてないないか確認を行うようにしました。
また、今後は弊社ホームページの更新は特定のパソコンからのみ行うよう制限しました。
■ その他の情報
- 今回のウィルスによる感染・ホームページ改ざんの流れ
- Javaスクリプトを埋め込まれたページにアクセスしてパソコンがウィルスに感染する。
↓
- ウィルスが感染したパソコンからFTPでサーバーに接続すると、
ウィルスがFTPアカウント名・パスワードを記録する。
↓
- ウィルスは記録したFTPアカウント名・パスワードを使用してそのサイトにアクセスし、
html, php, js ファイルなどにJavaスクリプトを埋め込む。
現在弊社では、今回のウィルスはこのような経路で伝搬していくと把握しております。
- ウィルスの名称
「JSRedir-R」
ご利用のウィルス対策ソフトにより検出される名称が異なる場合があります。
maido3.com ホームページをご覧の皆様に、大変なご心配とご迷惑をお掛け致します事を深くお詫びいたします。
新しい情報が入り次第、このページにて皆様にご報告いたします。
【関連情報】
2009/05/08 20:23 maido3.com ホームページについてご報告いたします(障害報告ページ)
2009/05/07 18:01 maido3.com ホームページ緊急メンテナンスのお知らせ(障害報告ページ)