GOM Player 偽装ウイルス感染チェック法

 コンピュータセキュリティ会社の株式会社ラックは「当社のセキュリティ監視センターJSOCにおいて、当社顧客のネットワーク環境よりインターネットに対して、定期的に発信される不正なデータ送信と考えられる通信を複数捕捉し、新たな不正なプログラムであることを発見した」と公表した。
 http://www.lac.co.jp/security/alert/2014/01/23_alert_01.html
 ラックによると、今回のウイルスはマルチメディアプレーヤー ソフトウェアである「GOM Player」(通称ゴム・プレーヤー)の使用中に表示される「アップデートのお知らせ」に従って操作してしまっただけで、マルウェアウイルス感染して乗っ取られ遠隔操作されてしまう可能性があるとの事です。


症状

 ありません。
 このウイルスは攻撃者があなたのパソコンへ密かに命令を送り遠隔操作を行うので、パソコン利用者に気が付かれないように表面上は何もしない可能性も高いものです。


原因

 「GOM Player」を利用する際に表示されるアップデートのお知らせの指示に従って実行したこと。
 ただしマルウェアへの感染のおそれのある期間は、2013年12月27日(金)から2014年1月16日(木)の間にアップデートを行った場合。
 マルウェアウイルス(不正プログラム)に感染するとパソコンが遠隔操作によって乗っ取られ、重要な情報が盗まれる可能性がある。


ウイルス名

 リスクレベルはLowまたはVeryLowの様だが…
 ・「Backdoor.Miancha」Symantec http://www.symantec.com/security_response/writeup.jsp?docid=2014-012407-3922-99&tabid=2
 ・「Troj/Agent-AFLY」Sophos http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Agent-AFLY.aspx


一般ユーザが行うウイルスに感染しているか否かのチェック方法

 「GOM Player」の設定ファイルに残されいるダウンロードサイトを調べる
  (1)確認内容:インストールフォルダ(※1)にある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目がhttp://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
  (2)確認内容:ユーザーのローカルフォルダ(※2)にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目が「https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE」以外になっていないか確認する。


  (※1)Windows XPの場合:C:\Program Files\GRETECH\GomPlayer
      Windows7の場合:C:\Program Files (x86)\GRETECH\GomPlayer
  (※2)Windows XPの場合:【%Appdata%\GRETECH\GomPlayer】
      Windows7の場合:C:\Users\isao\AppData\Roaming\GRETECH\GomPlayer 【%AppData%Roaming\GRETECH\GomPlayer】


      Windows7の場合⇒検索で「GrVersion.ini」を入力して見つけましょう。見つからない場合は以下で、
   スタートをクリック→ユーザー名(ドキュメン・ピクチャーなどの最上部にある)をクリック→マイドキュメントなど他フォルダの中から「AppDataフォルダ」を見つける
    「AppDataフォルダ」が見つからない場合は(隠しフォルダになっているので)→「ツール⇒フォルダーオプション⇒表示⇒隠しファイル、隠しフォルダを表示するにチェック」
    →AppDataフォルダが見えたらクリック(開く)と「Roamingフォルダ」があり、その中にGRETECH→GomPlayerの順に開いていくとその中に「GrVersion.ini」ファイルが見つかります。


ネットワーク管理者が行うべきウイルスに感染したか否かのチェック方法

 ネットワーク管理者ファイアウォールもしくはプロキシサーバーなどの通信ログに、コンピューターウイルスが「遠隔操作サイト」と通信した痕跡がないかを確認して下さい。
 現在確認されている「遠隔操作サイト」は以下です。
 testqweasd.tk
 211.43.220.89
 114.202.2.4


感染が確認された場合の対処方法(一般ユーザの場合)

 個人の場合は、使用しているウイルス対策ソフトで駆除してください。
  ここではWindowsに標準で搭載されている「Microsoft Security Essentials」を例に行います。
  (1)Windows Updateで「MS Security Essentialsの定義」を最新に更新して下さい。
  (2)タスクバーにある「Microsoft Security Essentials」を実行する。
   ・とりあえず「%Windir%」(Windows7の場合は、C:\Windows)を検索して下さい。
   ・そののちに「クイックスキャン」、「C:ドライブ」を検索して下さい。
   ・タスクバーに「Microsoft Security Essentials」がない場合は、
   「隠れているインジケーターを表示ます」の「カスタマイズ」で「Microsoft Security Client User Interface」の「アイコンと通知と表示」させます。


感染が確認された場合の対処方法(企業内ユーザの場合)

 企業の場合は、被害範囲とその内容の把握と被害拡大防止や復旧と再発防止などの事故対応を行うことをお勧めします。事故対応は、フォレンジックサービス企業やウイルス対策メーカーなどへ相談することも出来ます。また、今回対象となっているGOM Playerだけではなく、社内で使用しているソフトウェアのアップデート手順や管理方法に関して精査を行うこともあわせて推奨します。


備考

 特に無し