ホーム » ExTrapper for Resource » 大規模なネットワーク障害をもたらすウイルスに関して » 2009年9月中旬から発生
弊社が確認した範囲ではほぼ全国で発生していると思われます。
ネットワークを介して拡散するタイプではないので店舗内全体が被害を受けることはありませんが、リカバリを解除して
任意のアプリケーションをインストールされ危険な状態となります。
2009年9月上旬 | 愛知、千葉で発生 | |
2009年10月上旬 | 東京で発生 | |
2009年11月上旬 | 神奈川で発生 |
・リカバリが解除される
・リカバリの管理者パスワードが初期化もしくは任意のパスワードで管理権限
・ウイルス対策ソフトが停止状態になっている
・キーロガーが仕込まれる
リカバリソフトの機能が損なわれる事はないので正常に動いているように見えます。
任意パスワードで管理者権限になれる為に通常作業でプログラムが置き換えられていることに気付くことはないと思われます。
リカバリエンジン自体の置き換えは行わずにメンテナンス効率を上げるためにリモートでリカバリの制御を行うための上位プログラムを
改変し管理者パスワードが初期化もしくは任意パスワードで管理権限になれるようになります。
2008年後半から中華人民共和国(中国)で猛威を振るっている「Robot Dog」(ロボット犬)とは別物ですが、
インターネットカフェのリカバリを解除する点では一致しています。
「Robot Dog: Recovery Software Penetrating Virus」
Websenseのレポート
現在確認しているものはリカバリを解除し、ウイルス対策ソフトの停止もしくはアンインストールを行いキーロガーを仕込まれている状態です。
キーロガーは主にオンラインゲームのログインIDとパスワードを取得するタイプでした。
SSL証明書の改編や置き換えはないのでオンラインバンクなどをターゲットにしたものではないですが、注意が必要です。
タイプ①のエンジン包括タイプのリカバリは現在安全です。
タイプ②のリカバリエンジンとリカバリ制御プログラムが分かれているタイプのリカバリでリカバリ制御プログラムの書き換えを確認しております。
1.リカバリを過信しない
リカバリがあるから安全であるとの認識は危険です
リカバリを安全・安心の根拠にするには問題があります
2.定期的にリカバリのパスワードを変更する
少なくとも初期パスワードでの運用は行わない
3.怪しいと思う端末はOSから再インストールを行う
リカバリの再インストールだけでは不十分です