角川kadokawa.co.jpが改ざんされウイルスばら撒く! 感染確認チェックするには…
セキュリティ会社シマンテックが指摘してた大手出版社のサイトが改ざんされウイルスを撒いたインシデントで、具体的な名指しの報道… <角川
- 角川HP改ざん 閲覧者感染のおそれ (NHKニュース)
http://www3.nhk.or.jp/news/html/20140116/k10014544561000.html
改ざんされたのは、出版物の案内などを行う「KADOKAWA」のサイトのトップページです。
会社側の説明によりますと、このページは、今月7日午前1時前、何者かによって改ざんされ、ページを閲覧した人のパソコンが、ネットバンキングのIDやパスワードなどを盗み取るウイルスに感染するよう、仕組まれていたということです。このページは、会社側が対策を済ませた8日午後1時すぎまで1日半にわたって外部に公開され、その間に、およそ1万回のアクセスがあったということです。
ウイルスには、閲覧した人のソフトが最新のものでないと、感染するようになっていたということですが、KADOKAWAは今回の改ざんについて、16日まで公表していませんでした。
- 弊社ホームページ改ざんに関するお詫びとご報告 PDF
ttp://ir.kadokawa.co.jp/topics/20140116_security-kdkw.pdf
改ざんされた証拠の例としてシマンテックがブログで挙げていたJavaScriptコードの画像はココ?
hxxp://www.kadokawa.co.jp/js/all_top_script.js
ターゲットはWindowsユーザーのみ、かつ『閲覧した人のソフトが最新のものでない』ってのは下の感染条件…
更新をすっぽかすことで感染条件に当てはまっていて、ショッピングサイト、Webメール、ネットバンクなどのアカウントを盗み取るウイルスに感染してるか手動で確認チェックするには
【1】 レジストリエディタを起動して、左側のツリーで下の場所までたどる
HKEY_LOCAL_MACHINE ¥ Software ¥ Microsoft ¥ Windows ¥ CurrentVersion ¥ Run
【2】 右側の一覧の中に『 sysplar 』という項目がもし存在したらアウトの可能性アリ
ハッシュ値 ⇒ MD5 不明
- Infostealer.Torpplar (シマンテック)
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2014-010908-4722-99&tabid=2 - Trojan.MulDrop5.6996 (Dr.Web)
http://vms.drweb.com/virus/?i=3580262 - Win32/PSW.Torpplar.A (ESET)
http://www.virusradar.com/en/Win32_PSW.Torpplar.A/description - PWS:Win32/MMOsteal (Microsoft)
- RDN/PWS-Banker!cy (McAfee)