カテゴリー: マルウエア

新聞記事にwordpressの文字が

新聞にwordpressの文字が

2015年3月12日読売新聞より

ちょっと前の新聞記事ですが、ホームページが書き換えられて、イスラム国のマークが表示されるという改ざん(改竄)被害事件がありました。
新聞を見ていて、またやられたところがあるんだと思いながら読んでいると、「WordPress」の活字に目を取られました。 「へー 事件記事にワードプレスなんて珍しい。」

「Fancybox」の文字も。
ファンシーボックスを調べると、写真表示などを効果的に行うプラグインの名前でした。
一般常識として、プラグインもウイルスなどに狙われるので、更新はこまめに行なった方が良いと言われています。 プラグインだけでなく、テーマでさえ狙われるので不要なものは削除したほうが良いという認識があります。

今回wordpressが狙われたのは、それだけ広く使われているので、悪意者の対象にもなりやすかったということでしょう。 脆弱性の情報も得やすいのでしょう。
そのことを常に頭の隅においてこまめな更新を心がけようと思います。

参考サイト
「イスラム国」名乗るウェブ改ざん、WordPressプラグイン「FancyBox」の脆弱性を悪用している可能性(internet.watch)
 FancyBox for WordPressは、画像拡大表示用のWordPressプラグイン。警察庁では、同プラグインを利用しているウェブサイトの管理者に対して速やかにバージョンを確認し、バージョン「3.0.2」以下だった場合は最新バージョンに更新するよう呼び掛けている。

IPWO 知財ネットオフィス

adsenseの広告が勝手に書き換えられる。

これも表示確認用XP機での話です。
ブラウザを立ち上げて、サイトを見ていると。
広告画面(adsense)が、そのサイトの内容などとは無関係に「あなたのパソコンは壊れる寸前です。」「内部を検査しています」「警告 こわれています」などと脅かす表示になります。
その画面を記録するのを忘れました。 なんだろうこれと対策しているうちに消えたからです。

状況としては、表示画面のすべてのadsense広告が同様に変化。
IE8と、chromeで確認しました。

やったことメモ
不要なソフト
なにをして正常に戻ったかというと、余計なプログラムを削除したことです。
YAC(Yet Another Cleaner!)。これはなんだ? 入れた覚えがない。
おそらく何かの無料ソフトを入れる際に、一緒に入ったのだと思います。
削除しようとするとおどかす

削除しようとすると、変な日本語ですね。
「ウイルスにアタックされるおそれになります」
「私はあなたの手伝えます」
そして、「残酷でアンインストールする」をクリックすると削除が始まりました。
私は残酷な人間のようです。
削除中

意外に大きな容量を占めていたようで、時間がかかります。
さよなら

「さよなら 今後またあなたのコンピュータを守れたらいいですね…」
はいそうですね。 さようなら。

この画面を記録できたのは、予備用のハードディスクを再現のために立ち上げたからです。
ですが、このHDでは普通の表示でした。
なんらかの遅延時間、発動時間があるのかもしれません。
あるいは、このCleanerの働きではなく、別のウイルスかもしれません。

winXP ie8で、邪魔なポップアップを消す。

表示の試験用にxp機も使っています。
xpは安定していて、スタンバイにすることはあってもめったに電源を切りません。
あるときから、ie8を立ち上げると余計な選択を強いられます。
選択画面

プログラムに、規定の検索プロイバイダーの変更を提案させない(P)という項目にチェクを入れると、OKのボタンを押せません。
これはいわゆるマルウエア(悪質性のあるソフトウエア)ですね。
どれも選びたくない究極の選択みたいなものです。 
なんとか消しました。

消し方メモ
ツール⇒ アドオンの管理⇒ 
アドオンの管理
ここで有効になっているアドオンを見ると、
JQSIEStartDetectorImpl Classという見慣れない文字があります。

選択して右クリック⇒
無効にしますか
⇒無効にする。
無効になる

無効になりました。

その後ポップアップ(pop up)画面は表示されなくなりました。