更新日:2009年10月29日
2009年10月中旬からマルウェアWin32/Daonolとその亜種に関連する活動が確認されています[2][3][4]。このマルウェアは、2009年6月、Webサイトの改ざん被害が大量に発生した、「Gumblar、Martuz、Geno、JSRedir-R」(以下、Gumblar)と類似した攻撃手法を用いて感染活動を拡大しています。感染活動に伴う影響は、次の通りです。
Webサイト更新用FTPアカウントが抜き取られ、抜き取られたFTPアカウントは、ユーザの管理するWebサイト改ざんに利用されてしまう場合があります。また、Windows XPがWin32/Daonol亜種に感染すると、真っ黒な画面になり、マウスポインタしか表示されない現象も報告されています。
意図しないJavaScriptの埋め込みなど、感染活動拡大のためのWebサイトの改ざんが発生しています。Webサイトの改ざんには、抜き取られたFTPアカウントが利用される場合もあります。
Microsoft Updateを実行し、過去にリリースされたセキュリティ更新プログラムを適用してください。また、Adobe Reader、Adobe Flash Playerなど、このマルウェアが感染活動に利用するソフトウェアのアップデートを行なってください。
マルウェア対策ソフトウェアがインストールされていること 、定義ファイルの自動更新が設定されていること、定義ファイルが最新であることを確認してください。
Webサイトでは、セキュリティ更新プログラムの適用、最新の状態のマルウェア対策ソフトウェアの利用に加えて、次の点からセキュリティ対策状況を確認してください。
リモート保守用アカウントのパスワードを変更してください。Gumblar感染拡大の際にパスワードを変更しても再度侵入される事例も報告されていますので、FTPを利用している場合には、リモート保守を許可するパソコンのIPアドレス制限を検討してください。
見知らぬJavaScriptが存在しないこと、見知らぬドメイン/IPアドレスを参照するJavaScriptのページが存在しないこと、見知らぬドメイン/IPアドレスを参照するiframeのページが存在しないことを確認してください。
寺田/HIRT
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
