弊社Webサイトの改ざんについてのお詫びとお知らせ

弊社Webサイト改ざんについてのお詫びとお知らせ

2009/05/14 株式会社アイマジック

平素は弊社Webサイトをご覧いただきありがとうございます。

この度、弊社サイトの一部につきまして、第三者による改ざんが確認されました。下記、期間に「www.imagic.co.jp」サイトをブラウザーでご覧いただいた方にウィルス感染の恐れがあることが判明しました。
弊社サイトをご利用いただいている皆様には大変ご迷惑をおかけしましたことをお詫び申し上げます。現在は、改ざんされたページの修正を完了しており、ご覧いただいてもウィルス感染の恐れはございません。サイトの安全管理には万全を期して参りますので今後ともよろしくお願い申し上げます。

※当該サイトには個人情報は保存されておりませんので流出の恐れはございません。
※Windows Vista以降、Macは、感染の恐れはございません。

対象サイトおよび感染の疑いがある期間

www.imagic.co.jp
2009/05/13 07:10 から 2009/05/13 21:10

※ブログ、オンラインマニュアル、ダイレクトショップ、会議室は、別サーバーで運用しているため問題ございません。
※アップデータなどの実行ファイルは問題ございません。
※VRMONLINEは問題ございません。

感染するシステム

Windows XP以前のOS（XP / 2000など）で、Acrobat Reader、Adobe Readerのバージョンが古い場合

今回のサイト感染の詳細について

Webページの表示に使われるhtmlファイルの一部に第三者のサイトより攻撃プログラムをダウンロードするJava Scriptが埋め込まれました。この攻撃プログラムは、Acrobat Reader、Adobe Readerの脆弱性を利用してパソコンの中にスパイプログラムを送り込みます。
Windows XP、2000とAcrobat Reader、Adobe Readerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。

感染した場合、次の様な問題が発生します。

・ヘルプファイルの改ざん
C:\Windows\System32のsqlsodbc.chmファイルを改ざんします。（スパイプログラムのデータ置き場に利用されています。）
ファイルサイズが1000バイト程度の場合は、改ざんされています。

・コマンドプロンプトが起動できなくなる
コマンドプロンプトを起動するとエクスプローラーが再起動します。また、この影響でレジストリエディタが起動できなくなります。

上記の２点につきまして、感染が疑わしい場合は、次の手順でスパイプログラムの不活性化を行ってください。

スパイプログラムを破壊する方法

感染した場合は、次の手順でスパイプログラムを破壊することができます。

１：スパイプログラム本体を特定します。
スパイプログラムは、C:\Windowsに生成されます。このプログラムは、ランダムな名前＋ランダムな拡張子が特徴です。画像の様なアイコンになっているものでランダムな名前のファイルがスパイプログラムです。

この画像の名前は一例です。このようにランダムな名前がつけられています。

※下記拡張子のファイルは問題ありません。
bak,dat,isu,old,log,prx

２：スパイプログラム本体をメモ帳などのエディターで開きます。

３：開いたファイルの中間あたりの行を９割程度削除してください。
※削除範囲は適当でかまいません。先頭数行は残してください。
※完全に空のファイルにしないようにします。またごみ箱に捨てる方法では削除できません。

４：上書き保存してください。この段階でスパイプログラムが破壊されます。

５：パソコンを再起動します。スパイプログラムが書き換えたシステムフックを正常化します。

６：regedit.exeを起動します。

７：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
を開きます。

レジストリエディタ1

８：正常な値に戻します。
上記の画像では、auxがスパイプログラムを起動する様に書き換えられています。本来の設定値、wdmaud.drvに書き換えてください。（パソコンによっては、aux2,midiなど他の場所が書き換えられている場合があります。）

レジストリエディタ2

９：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Managerを開きます。
PendingFileRenameOperationsキーが一覧に存在する場合は、これを選択して削除してください。

ここまでの手順でスパイプログラムを破壊、不活性化することができます。

１０：再度の攻撃を防ぐため、Adobe Readerを最新版に更新してください。
旧Acrobat Readerをご利用の場合は、最新版のAdobe Readerに更新してください。また、Windows Updateによりシステムを最新の状態にしてください。

このお知らせを作成した2009/5/14時点では、各社セキュリティーソフトでは検出されませんが、セキュリティーソフトの検出パターンに反映されましたら、検査を行ってください。
下記リンク先のブラウザーから実行できるオンラインスキャン（無料）をご利用いただけます。

トレンドマイクロ社オンラインスキャンを開きます。
http://www.trendmicro.co.jp/hcall/scan.htm

本件に関するご連絡先

アイマジックユーザーサポートまでメールでご連絡ください。
info@imagic.co.jp