【話題】動画ソフト「GOM Player」アップデートで不正なプログラム実行の恐れ - ラックが注意喚起
★GOM Playerアップデートで不正なプログラム実行の恐れ - ラックが注意喚起
[2014/01/23]
ラックは1月23日、正規なソフトウェアのアップデートを装ってコンピューターウイルスに感染させる
複数の事案を確認したとして、注意喚起を行った。
同社によると、顧客のネットワーク環境からネットに定期的に発信される不正なデータ送信の通信を
確認したという。これにより、ラックは原因究明を行ったところ、定期的な通信を行うコンピューター
ウイルスを確認した。
その後、調査の過程で、感染経路の特定を行った結果、今回の事象「正規なソフトウェアのアップデートを
装ったウイルス感染」が明らかになったという。
今回、ウイルス感染に悪用されたソフトは、GRETECHが提供する動画再生ソフトウェア「GOM Player」。
通常はGOM Playerの起動時に、「app.gomlab.com」という正規サイトからアップデート設定ファイルを取得する。
しかし、このケースでは正規サイトではない「踏み台サイト」にアップデート設定ファイルを取得する
ように仕掛けられていた。ラックによると、「DNSキャッシュポイズニングのような通信経路内での改ざん」か
「接続がリダイレクトされるように正規サイトが改ざんされた」ケースが考えられるという。
>>2へ続く
http://news.mynavi.jp/news/2014/01/23/309/
しかし、偽の設定ファイルをダウンロードしてしまうことで、遠隔操作ウイルスに感染してしまう
http://news.mynavi.jp/news/2014/01/23/309/images/002.jpg
[2014/01/23]
ラックは1月23日、正規なソフトウェアのアップデートを装ってコンピューターウイルスに感染させる
複数の事案を確認したとして、注意喚起を行った。
同社によると、顧客のネットワーク環境からネットに定期的に発信される不正なデータ送信の通信を
確認したという。これにより、ラックは原因究明を行ったところ、定期的な通信を行うコンピューター
ウイルスを確認した。
その後、調査の過程で、感染経路の特定を行った結果、今回の事象「正規なソフトウェアのアップデートを
装ったウイルス感染」が明らかになったという。
今回、ウイルス感染に悪用されたソフトは、GRETECHが提供する動画再生ソフトウェア「GOM Player」。
通常はGOM Playerの起動時に、「app.gomlab.com」という正規サイトからアップデート設定ファイルを取得する。
しかし、このケースでは正規サイトではない「踏み台サイト」にアップデート設定ファイルを取得する
ように仕掛けられていた。ラックによると、「DNSキャッシュポイズニングのような通信経路内での改ざん」か
「接続がリダイレクトされるように正規サイトが改ざんされた」ケースが考えられるという。
>>2へ続く
http://news.mynavi.jp/news/2014/01/23/309/
しかし、偽の設定ファイルをダウンロードしてしまうことで、遠隔操作ウイルスに感染してしまう
http://news.mynavi.jp/news/2014/01/23/309/images/002.jpg
|
|
|
2 : ◆CHURa/Os2M @ちゅら猫ρ ★:2014/01/23(木) 19:05:35.31 ID:???0
>>1より
これによって、踏み台サイトから、コンピューターウイルスがダウンロードされ、PCが感染。感染したPCは、
遠隔操作が可能な状態になって「PC内やネットワークの情報を盗み取られる可能性があった」(ラック)としている。
このケースでは、正規のソフトウェアアップデート機能を悪用した攻撃手法のため、攻撃を事前に回避する
ことは難しいという。ただ、ウイルスに感染したか否かについては、プロキシサーバーと通信した痕跡を
確認することで判別できるという。
ラックが把握している遠隔操作サイトは、以下の通り。
testqweasd.tk
211.43.220.89
114.202.2.4(IPアドレスは変化している可能性あり)
ほかにもPCにインストールしたGOM Playerの設定ファイル「GrLauncher.ini」を開き、「、VERSION_FILE_URLの項目が
http://app.gomlab.com/jpn/gom/GrVersionJP.ini以外になっていないか」、「GrVersion.ini」を開き、「DOWN_URL の項目が
https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE以外になっていないか」を確認することで判別できるとしている。
ラックでは、安全が確認されるまでアップデートを行わない運用か、既存のアップデート機能を使用せず、
GOM Playerサイトから最新の実行ファイルをダウンロードするといった運用を推奨している。(終わり)
これによって、踏み台サイトから、コンピューターウイルスがダウンロードされ、PCが感染。感染したPCは、
遠隔操作が可能な状態になって「PC内やネットワークの情報を盗み取られる可能性があった」(ラック)としている。
このケースでは、正規のソフトウェアアップデート機能を悪用した攻撃手法のため、攻撃を事前に回避する
ことは難しいという。ただ、ウイルスに感染したか否かについては、プロキシサーバーと通信した痕跡を
確認することで判別できるという。
ラックが把握している遠隔操作サイトは、以下の通り。
testqweasd.tk
211.43.220.89
114.202.2.4(IPアドレスは変化している可能性あり)
ほかにもPCにインストールしたGOM Playerの設定ファイル「GrLauncher.ini」を開き、「、VERSION_FILE_URLの項目が
http://app.gomlab.com/jpn/gom/GrVersionJP.ini以外になっていないか」、「GrVersion.ini」を開き、「DOWN_URL の項目が
https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE以外になっていないか」を確認することで判別できるとしている。
ラックでは、安全が確認されるまでアップデートを行わない運用か、既存のアップデート機能を使用せず、
GOM Playerサイトから最新の実行ファイルをダウンロードするといった運用を推奨している。(終わり)
3 :名無しさん@13周年:2014/01/23(木) 19:06:21.72 ID:VBaTuAs/P
コレ見た瞬間ダメだって分かるタイプのトロイ系ソフトだよなあ
ゆとりはバカだなあ
ゆとりはバカだなあ
4 :名無しさん@13周年:2014/01/23(木) 19:06:24.38 ID:4Cov2b9k0
昔っからGOMは危ないってさんざん言われてたよなw
5 :名無しさん@13周年:2014/01/23(木) 19:07:06.30 ID:7Hm0yh6O0
コーデックなしでいろいろ再生できて
4倍速ぐらい音程替えずに再生できるプレーヤーって何がある?
4倍速ぐらい音程替えずに再生できるプレーヤーって何がある?
6 :名無しさん@13周年:2014/01/23(木) 19:07:30.07 ID:xW4Nahi00
VLCを使ってます
7 :名無しさん@13周年:2014/01/23(木) 19:08:14.87 ID:pgKGp/rB0
VLCはアイコンがダサすぎ
話にならん
話にならん
8 :名無しさん@13周年:2014/01/23(木) 19:08:18.67 ID:DuxfXchu0
VLCってクリスマスサンタのやつか
9 :名無しさん@13周年:2014/01/23(木) 19:08:21.53 ID:qbgjuAcE0
使ってるのはアホしかおらんよ
10 :名無しさん@13周年:2014/01/23(木) 19:09:00.79 ID:Lkk9TJ8N0
支那チョン製はノーセンキュー