ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB09009:マルウェアWin32/Daonolならびにその亜種に関する注意喚起

更新日:2009年10月29日

1 状況

2009年10月中旬からマルウェアWin32/Daonolとその亜種に関連する活動が確認されています[2][3][4]。このマルウェアは、2009年6月、Webサイトの改ざん被害が大量に発生した、「Gumblar、Martuz、Geno、JSRedir-R」(以下、Gumblar)と類似した攻撃手法を用いて感染活動を拡大しています。感染活動に伴う影響は、次の通りです。

パソコンへの影響

Webサイト更新用FTPアカウントが抜き取られ、抜き取られたFTPアカウントは、ユーザの管理するWebサイト改ざんに利用されてしまう場合があります。また、Windows XPがWin32/Daonol亜種に感染すると、真っ黒な画面になり、マウスポインタしか表示されない現象も報告されています。

Webサイトへの影響

意図しないJavaScriptの埋め込みなど、感染活動拡大のためのWebサイトの改ざんが発生しています。Webサイトの改ざんには、抜き取られたFTPアカウントが利用される場合もあります。

2 対策

(1)セキュリティ更新プログラムを適用する

Microsoft Updateを実行し、過去にリリースされたセキュリティ更新プログラムを適用してください。また、Adobe Reader、Adobe Flash Playerなど、このマルウェアが感染活動に利用するソフトウェアのアップデートを行なってください。

(2)信頼できる、最新の状態のマルウェア対策ソフトウェアを使用する

マルウェア対策ソフトウェアがインストールされていること 、定義ファイルの自動更新が設定されていること、定義ファイルが最新であることを確認してください。

(3)Webサイトのリモート保守とページ改ざん有無について確認する

Webサイトでは、セキュリティ更新プログラムの適用、最新の状態のマルウェア対策ソフトウェアの利用に加えて、次の点からセキュリティ対策状況を確認してください。

リモート保守環境

リモート保守用アカウントのパスワードを変更してください。Gumblar感染拡大の際にパスワードを変更しても再度侵入される事例も報告されていますので、FTPを利用している場合には、リモート保守を許可するパソコンのIPアドレス制限を検討してください。

ページの改ざん有無

見知らぬJavaScriptが存在しないこと、見知らぬドメイン/IPアドレスを参照するJavaScriptのページが存在しないこと、見知らぬドメイン/IPアドレスを参照するiframeのページが存在しないことを確認してください。

3 関連情報

関連組織からの注意喚起

感染活動に関する情報

マルウェアに関する情報

セキュリティ更新プログラムと最新バージョンに関する情報

更新履歴

2009年10月29日
  • このページを新規作成および公開しました。

寺田/HIRT