ガンブラー/GENO(ジェノ)ウイルスについて

本ガイドはサポート対象外の説明を含む内容となります。
参考情報としてお読みいただき、お客様のご判断でご利用ください。

2009年前半より、ニュースで取り上げられているGENO(ジェノ)ウイルス、
正式名称:JSRedir-R(ジェイエス・リダイレクト・アール)についてお知らせします。

このウイルスは通称Gumblar(ガンブラー)ウイルスとも呼ばれることが あります。
2009年後半には、類似したウイルスも複数派生、被害は拡散し、大手 企業サイトも攻撃を受け、
新たな感染源として改変されたことで知られています。

ガンブラー/GENO(ジェノ)ウイルスとは?

GENOウイルスは、ウェブサイトを閲覧しただけで利用者のコンピュータに感染する可能性がある、
悪意をもったソフトウェアプログラムのひとつです。
一度コンピュータが感染すると、本人が気づかぬ間に、サイトの不正改竄、さらなる感染拡大を誘発します。
「ブラウザ経由」「コンピュータにインストール済みのソフトウェア経由」でのウイルス感染については、
お客様ご自身でコンピュータを最適化し、自衛いただく必要があります。
またサーバの運営面でも、不正なFTPアクセスがないか、サイトの改竄がないか、
確認いただくこともコンピュータウイルスの感染を食い止める鍵となります。
本ガイドでは注意喚起として、情報をご案内させていただきます。

主な感染経路

GENOウイルスの代表的な感染、拡大経路は以下のようになっています。

1:コンピュータよりGENOウイルスに感染した「ウェブサイトA」を閲覧

2:サイトAの閲覧者のコンピュータに脆弱性があると、
 コンピュータがウイルスに感染<1次感染>

3:一度コンピュータが感染すると常時トロイプログラムが起動
 悪意のある第三者(外部の悪意あるプログラム)が、FTPアカウント、
 パスワード情報を が盗めるようにするプログラムが常駐する。

4:第三者は入手したFTPアカウントとパスワードを用い、ホームページソースを改竄(かいざん)
 ウイルス感染源となるソースコードを記載しサーバへアップロード。

5.新たなサイト「ウェブサイトB」がGENOウイルスの感染源となり
 <2次感染>を引き起こす

お手持ちのコンピュータの感染チェック

インターネット上には、無料オンラインウイルススキャンツールがいくつかございます。

カスペルスキー オンラインスキャナ
シマンテック セキュリティチェック

各ツールは診断結果の後、ウイルス除去のための対処方法が案内することがあります。
ご自身の責任のもと必要に応じてコンピュータの復元作業を行ってください。

コンピュータへの感染防止、脆弱性への対応策

あやまって、GENOウイルスに感染したサイトを閲覧しても影響を受けないようにするためには、
コンピュータ上の各種ソフトウェアのアップデートなどを適切におこなっていただくことがメインとなります。

1.Microsoft Updateを行う
Microsoft Windows Update

2. インストール済のソフトウェアに関して適宜アップデートを行う。
 特にGENOウイルスに関しては以下のプログラムが該当します
– Adobe Acrobat / Adobe Reader / Adobe Flash Player
– Java (JRE)
– Microsoft Office関連ソフト
【参考】>MyJVN – 脆弱性対策情報収集ツール
その他、FTPソフトでも個別にセキュリティ対策アップデートを行っている場合もあります。
ただし、ウイルス感染してしまったコンピュータについては、FTPのソフトウェアのアップグレードを行っても、
効果が見込めない可能性もありますので、必ず他の対策もあわせてご使用ください。

3.アンチウイルスソフトウェアのパターンファイルのアップデートを行う

4.ブラウザ側の設定等で、JavaScriptのオン/オフを意図的にコントロール
不正と思われる外部サイトのスクリプトを読み込ませないための設定です。
各ブラウザソフトによって、設定の仕方は異なります。
また不正なリダイレクト設定の挿入によって別サイトを表示させることもあります。
意図しないリダイレクトをコントロールできる機能もブラウザソフトによってはあるようです。

ウェブサイトの感染チェック

【オンラインサイト診断ツール】
運営中のウェブサイトについて、ウイルスに感染しているかどうかは、オンラインサイト診断ツールで調べることができます。

Google セーフブラウジング診断機能
http://www.google.com/safebrowsing/diagnostic?site=(URLアド レス)の形式でURLを指定しアクセスします。
例:http://www.google.comのサイトを診断する場合、以下のようになります。
http://www.google.com/safebrowsing/diagnostic?site=http://www.google.com
aguse.jp
http://www.aguse.jp/

オンライン診断ツールによっては過去のデータを保存してしまい、対策を施した後も即時結果が現われない場合があります。
ウェブページから感染源となる不正スクリプト行を除去した後は、複数の方法で確認されることをお勧めします。

その他、ウェブページ不正改竄を認知する方法として、FTPログを確認し、
不正なファイル更新がないかを確認することも有効な対策です。
不正な接続元からのアクセスとファイルの更新があった場合は ファイルマネージャ等で、
更新されたファイルの中にもともと設定していなかっ たJavascriptコードなどが挿入されていないか、
不正な.htaccessファイルの更新がないかをご確認ください。

ウェブサイト感染判明の際、サイト管理者の対応策

もし、ウェブサイトを至急停止させたほうがよいとの判断であれば、チケットシステム経由等で、当社にご相談ください。
以下は、不正なスクリプトを含むコンテンツを正規のファイルで上書きする、あるいは編集して更新する方法についてです。

1.管理画面よりFTPパスワードを変更
FTPのユーザーID・パスワードがわかりません。
↑FTPパスワードの変更方法について記述があります。

FTPパスワードの変更後は、以下のいずれかの手法でファイルを更新します。

2-A. FTP 経由での更新
●ウイルスに感染していないコンピュータから新しいパスワードでFTP接続する方法【全プランで可】
●ファイアウォールモジュール等でアクセス制限をした後、新しいFTPパスワード文字列でFTP接続しファイルを更新する方法【対応プラン: 】
ファイアウォールモジュールの設定【ADVANCE/EXPERT/Plesk8】
↑「FTPサーバ」のルールについて編集し、ご自身のネットワークからのみのアクセスを許可するようにしてください。
当ガイドではFireWallのカタカナ表記をファイアウォールに統一しています。コントロールパネル、Plesk上の表記は「ファイヤウォール」の場合がございます。
●.ftpaccessファイルにてアクセス制限をしてから、新しいFTPパスワード文字列でFTP接続しファイルを更新する方法【対応プラン: 】
FTPのアクセス制限追加

2-B. 管理画面のファイルマネージャでファイルを更新
●FTPではなく管理画面経由でシステムアクセスし、編集する方法【全プランで可】
ファイルマネージャでアップロード済テキストファイルを編集したいのですが…
ファイルマネージャで新規ファイルの作成方法を教えてください。
ファイルマネージャでは、一部の機種依存文字などの含まれるデータは画面上編 集がうまくゆかない場合があります。編集画面で最後の行まで表示できない場合は、ファイルマネージャでの編集は適しておりませんのでご了承ください。

2-C. SSHポート経由でファイル更新
既存のFTPアカウントをシステムアカウント(SSH接続可能な設定)として設定後、SFTP接続、もしくはSSHログインし、viエディタでファイル編集を行う【対応プラン: 】
SSHアカウントを発行したいのですが…
WinSCP接続

参考URL

[ JPCERT/CC ]
JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起
Web サイト経由でのマルウエア感染拡大に関する注意喚起
Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
冬期の長期休暇を控えて Vol.2 — 年末年始におけるインターネット利用に関する注意事項
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起