Subscriptions | RSS | ディスカッション | アンケート   




全ての脅威

ウイルス

ハッカー

スパムメール

サイト全体    ウイルスについて
   
ウイルス百科事典
リスクウェア 警告
分析
ニュース
用語集
研究者日記(weblog)

 
アーカイブ

<< 2016  
Jan Feb Mar
Apr May  
     
     
最新レポート



2013 年 金融関連のサイバー脅威 − パート 1 :フィッシング



スパムレポート:2014 年 2 月



スパムレポート:2014 年 1 月
 
分析者への可能性
Contact us!

私たちの作者のひとりになって、あなたの分析をViruslist.comに掲載してみませんか? 興味がある方は 連絡してください!

 

  ホーム / 分析

【注意喚起】DNS Changer

Apr 04 2012
 

はじめに

2月末くらいから、情報セキュリティの業界団体や、セキュリティ専門家が注意を喚起しているのが、DNS Changerというウイルスの影響についてです。

IPA
http://www.ipa.go.jp/security/txt/2012/03outline.html

JPCERT/CC
https://www.jpcert.or.jp/at/2012/at120008.html

Cyber Clean Center
https://www.ccc.go.jp/

IIJ:
https://sect.iij.ad.jp/d/2012/02/245395.html


ウイルスの感染とそれによるコンピューターへの影響、ウイルス作者の摘発が絡みあい、感染したコンピューターを使用している方が、近い将来インターネットのサービスを利用しにくくなる可能性があります。カスペルスキーは、ウイルス対策ソフトを利用している方、していない方に限らず、DNS Changerというウイルスの感染確認を行っていただきたいと思います。

カスペルスキーのウイルス対策ソフト製品版では、DNS Changerを正しく駆除いたしますので、ご安心ください。

しかしながら、DNS Changer に感染をした環境に当社製品をインストールし駆除を行っても、ウイルスにより変更された設定内容は元に戻すことはできません。そのため、感染の駆除が行われた場合には、

[STEP3] もしTDSSKillerが反応したら

を参考にして、設定をし直してください。

何が起こっているのでしょう?

みなさんは、DNS Changerというマルウェアをご存知でしょうか?カスペルスキーでは、TDSSと呼んでいるマルウェアですが、世界中で感染したパソコンがまだ数十万台も動いているといわれる、感染が広がっているコンピューターウイルスです。
このウイルスに感染すると、インターネットの情報のありかを探すドメインネームサービス(DNS)の問い合わせ先が、不正に構築されたDNSのサーバーに変更されてしまいます。これにより、正規のサイトへ接続をしたくても、全く異なるサーバーに誘導されてしまうことになります。



悪意のあるサーバーへ接続されることになると、今すぐに、もしくは今後に渡って情報の盗難などの被害につながる場合があります。

しかしご安心ください。今はこの不正なDNSサービスは米国の連邦捜査局(FBI)により取り除かれていますので、犯罪に巻き込まれることは減ったと考えてよいでしょう。 それでも感染者にとっての危機は完全に去ったわけではありません。感染をしたままのコンピューターを利用している場合、近い将来インターネットに接続ができなくなる可能性があるのです。

近い将来何が発生するのでしょう?

もしあなたが、DNS Changerに感染したパソコンを使っていても、インターネット接続が正しく行えているのは、FBIが不正なDNSサーバーを停止し、正しいDNSサーバーを仮で運用してくれているためです。しかし、この特別な対応が、近い将来に終わってしまう可能性があります。
近い将来と表現をしたのには理由があります。もともとは米国時間3月8日に代替えのDNSサーバーの提供期間が終了すると言われていましたが、これが4か月ほど延長されたため、7月までは対策の猶予が与えられたと考えてください。
しかしこの対応は、いつかは終了します。それ以降は、たとえばカスペルスキーのサーバーに接続をしたくても、DNSサービスが停止をしているため、接続をすることすらできなくなります。



今あなたがすべきことは?

インターネットは社会のインフラとなりつつあり、インフラが不安定では安心して利用することはできません。当社は、すべてのコンピューター利用者がDNS Changerの感染の確認や駆除を行っていただきたいと考えています。
しかしながら、そう簡単に駆除を行うことは難しいようです。このDNS Changerは、感染状態を隠すルートキット技術というものを備えていたり、多くの亜種といわれるバリエーションが存在していて、ウイルス対策ソフトでも発見できない場合があります。
もしこの情報をご覧の皆様は、この下の手順をお読みいただき、感染の確認と駆除をお願いいたします。

[STEP1] 始めに、ウイルスの検知をします。

カスペルスキーは、皆様がコンピューターを安全に利用できるよう、さまざまな情報やツールの提供をしています。皆様はウイルス対策ソフトウェアを使用されていると思いますが、一つのウイルス対策ソフトではすべてのウイルスに対応できない場合があります。病院でいうセカンドオピニオンのように、複数の企業が提供する感染確認のツールを使用することがより効果を高めます。
ここで紹介する、Kaspersky Virus Removal Toolは、無料で使用できるツールです。まずはこちらでコンピューターの状況を確認してください。

    1. ダウンロードサイトにアクセスしてください。本サイトは英語のページとなります。

    http://www.kaspersky.com/antivirus-removal-tool?form=1

    2. 以下のように、Version 11 のリストが English になっていることを確認し、Downloadボタンを押して、ダウンロードをお願いします。ダウンロードには5分以上時間がかかる場合があります。


    3. ダウンロードが完了すると、保存先には右のようなアイコンが増えているはずです。ダブルクリックして実行をしてください。

[STEP2] DNS Changer専用ツールで感染を確認し、駆除します

続いて、今コンピューターがDNS Changerに感染しているかどうかを確認しましょう。
カスペルスキーでは、DNS Changerを駆除できるツール、TDSS Killerを提供しています。こちらのツールも無料で利用できますので、まずは入手をして実行をしてみてください。

    1. TDSSKiller の日本語説明資料を表示してください。
    http://support.kaspersky.co.jp/faq/?qid=208283445

    2. [感染したシステムの感染駆除]に、ツールのダウンロードリンクが書かれていますので、ダウンロードしてください。

    3. ユーティリティのダウンロードができましたら、展開をしてから実行をしてください。

[STEP3] もしTDSSKillerが反応したら

あなたのパソコンで以下のような検知画面が表示された場合には、残念ながらDNS Changerもしくはその他のルートキットに感染しています。



すでにDNSの設定はDNS Changerにより変更されている可能性があります。皆様が利用しているネットワークサービスプロバイダー様からの設定資料を確認して、再設定をお願いします。
設定方法が分からない場合には、インターネットサービスプロバイダー様のユーザーサポートへ連絡をいただき、正しい設定に直してください。

駆除ツールを使用するのが難しい方は

何らかの理由により、駆除ツールによる自動的な検査ができない場合、お使いのWindowsシステムのネットワーク設定状況を確認することで、感染の確認できる場合があります。
この方法は、JPCERT/CCの注意喚起に記載されていたものを転載いたしました。


1) Microsoft Windows での DNS 設定情報を確認する

    1. コマンドプロンプトを起動します。

      (Windows 7 の場合)

      「スタートメニュー」-「プログラムとファイルとの検索」に cmd.exeと入力して表示されたプログラムをクリックします。

      (Windows XP の場合)

      「スタートメニュー」-「ファイル名を指定して実行(R)」に cmd.exe と入力して「OK」をクリックします。

    2. コマンドプロンプトで「ipconfig /all」と入力し、enter を押します。

    3. 表示された一覧の情報から「DNS Servers」または「DNS サーバー」で始まる行を確認 (複数の IP アドレスが指定されている場合もあります)
    ※ 複数のインタフェース(有線 LAN、無線 LAN など)を使用している場合は、それぞれ確認してください。

2) 1) で確認した DNS サーバの IP アドレスが以下の IP アドレスレンジに含まれていないことを確認する

    (不正な DNS サーバの IP アドレスレンジ)

    85.255.112.0 - 85.255.127.255
    67.210.0.0 - 67.210.15.255
    93.188.160.0 - 93.188.167.255
    77.67.83.0 - 77.67.83.255
    213.109.64.0 - 213.109.79.255
    64.28.176.0 - 64.28.191.255

DNS サーバの IP アドレスが上記アドレスレンジに含まれていた場合は、PC が DNS Changer に感染している可能性があります。


DNS Changer の駆除は、上で説明をいたしましたツールや、市販のウイルス対策ソフトをご利用いただく事をお勧めいたします。ただし、DNS Chargerがウイルス対策ソフトのインストールを阻害する場合もあります。この場合には、上で説明をした TDSSKillerを使用してください。
なおDNSサーバーの設定を元に戻すには、ご契約されているインターネットサービスプロバイダー様の資料をみて再設定するか、サポートセンターへご連絡をお願いします。

感染していなくても安心しないでください

上のような感染画面が表示されたかった場合、幸いにもDNS Changerには感染していませんでした。 引き続きウイルスの感染に気を付けてインターネットをご活用ください。 カスペルスキーのウイルス対策製品は、システムウオッチャーという機能により、万が一ウイルス感染をしてしまったとしても、感染を駆除したときに設定を正常に動いている状況に戻す機能が搭載されています。 最新のウイルス対策製品の導入も、ご検討ください。

http://www.kaspersky.co.jp/homeuser


ニュースソース:
Kaspersky Labs Japan
 

Copyright © 1996 - 2016
Kaspersky Labs Japan
All rights reserved

Email:
  新しいウイルスはこちら