ホームページが勝手に「ie.getitclear.com」に変わってしまうウィルス
4日前(2013年5月5日(日))からキーワード検索「ie.getitclear」でこのブログにアクセスされる方が急増している。
調べてみたところ、ホームページが勝手に「http://ie.getitclear.com/」に変わってしまうウィルスに感染した方からのアクセスのようだ。
現時点では私が扱った事の無い(過去に関連記事を書いたこともない)ウィルスだ。知らない間に復旧したケース、システム復元がきかずリカバリして復旧したケースの情報などがネット上にあった。新たな情報があればこの記事に追記する。
○参考(当方では下記ページの正確性を保証しませんので、閲覧や利用は自己責任でお願いします。):
・Detailed Analysis - W32-Dorkbot-FV - Viruses and Spyware - 脅威解析 - Threat Center - ソフォス
・ウィルスに感染(ポケカ堂)
・トロイの木馬 - Yahoo!知恵袋
※2013.05.09(木)10:15追記:
下記にて解決策の記載があった(JREのセキュリティホールを突いたUSBメモリ感染型のウィルスらしい):
・PC ウイルス - Yahoo!知恵袋
※2013.05.12(日)06:18追記:
下記ページによると、ホームページが「http://www.find404.com/」に変わってしまうケースもあるようだ(同種または亜種と思われる):
・インターネットを起動すると、 http--www.find404.com- が自動的に立ち上がり、ヤ... - Yahoo!知恵袋
※2013.05.12(日)08:32追記:
下記ページでも上記のYahoo!知恵袋と同様の対処法がまとめられている(管理者は同一人物と思われる):
【5-11更新】ブラウザを起動すると、find404.com、ie.getitclear.comが表示されるウイルスの対策について ZONE-Z
※2013.05.15(水)03:35追記:
悪代官さんの掲示板でリカバリに至った事例が取り上げられている。現時点ではかなり手ごわい、かつ深刻な被害の可能性が懸念されるウィルスのようだ。リカバリせず手動で駆除および復旧する一般的な手順は未だ見つかっていない。以下、当該掲示板:
・9291149:Find404.comがかってに表示されます。/悪代官の伏魔殿掲示板
※2013.05.16(木)23:55追記:
悪代官さんの掲示板で丸2日以上かけてリカバリせず手動で駆除および復旧したケースが掲載されている。スクリプトを使った力技で一般的な手順ではないようだ。以下、当該掲示板:
・9338216:私もfind440.comにやられまし/悪代官の伏魔殿掲示板
※2013.05.17(金)10:15追記:
免責事項:以下は中級者~上級者用の技術情報です。以下の情報を元に作業などを行い何らかの損害があっても当方は一切その責を負いません。自己責任でお願いします。
○問題のホームページ「http://ie.getitclear.com/」および「http://www.find404.com/」をざっと調べてみた。
・「getitclear.com」のIP情報(抜粋)は次の通り:
Domain Name: GETITCLEAR.COM参考:20130517-ip-getitclear-com.pdf(全IP情報PDFファイル/238KB)
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: NS1.SITELUTIONS.COM
Name Server: NS2.SITELUTIONS.COM
Name Server: NS3.SITELUTIONS.COM
Name Server: NS4.SITELUTIONS.COM
Status: ok
Updated Date: 15-apr-2013
Creation Date: 15-apr-2013
Expiration Date: 15-apr-2014>>> Last update of whois database: Thu, 16 May 2013 23:55:30 UTC <<<
ドメイン登録開始日は2013年4月15日となっており、今回のウィルス騒ぎの2週間ほど前である。会社名に「MELBOURNE」(メルボルン)が入っているのでオーストラリア関連の企業だろうか?(あくまで推測)。ホームページ「http://ie.getitclear.com/」のHTMLソースは1行しか無く、METAタグから待ち時間0秒で「http://www.find404.com/」にリダイレクトしている。
・「find404.com」のIP情報(抜粋)は次の通り:
inetnum: 37.220.32.0 - 37.220.39.255参考:20130517-ip-find404-com.pdf(全IP情報PDFファイル/269KB)
netname: NL-YISP-20120410
descr: Rens Ariens trading as "Your Internet Service Provider"
country: NL
org: ORG-RAta1-RIPE
admin-c: RA4892-RIPE
tech-c: RA4892-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RA92286-MNT
mnt-routes: RA92286-MNT
mnt-domains: RA92286-MNT
source: RIPE # Filteredorganisation: ORG-RAta1-RIPE
org-name: Rens Ariens trading as "Your Internet Service Provider"
org-type: LIR
address: Your Internet Service Provider
address: Belgiestraat 12
address: 1363BL Almere
address: NL
mnt-ref: RA92286-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filteredperson: Rens Ariens
address: Belgiestraat 12
address: 1363BL Almere
phone: +31852737135
nic-hdl: RA4892-RIPE
mnt-by: RA92286-MNT
source: RIPE # Filtered% Information related to '37.220.32.0/21AS58073'
route: 37.220.32.0/21
descr: YISP
origin: AS58073
mnt-by: RA92286-MNT
source: RIPE # Filtered
こちらはサーバがオランダだ。サーバ管理者が「Rens Ariens trading as "Your Internet Service Provider"」となっているのでホスティング会社だろう(これもあくまで推測)。ホームページ「http://www.find404.com/」のHTMLソースも閲覧したが、解決に役立ちそうな情報は得られなかった。
※2013.05.17(金)10:40追記:
悪代官さんの掲示板でリカバリに至った事例がまた1件取り上げられている。同様の案件の相談が続いているようだ。今後リカバリ作業をする場合は最後のコメント(悪代官さん:リカバリ手順など+足軽さん:ドライブバイダウンロード攻撃)が参考になるだろう。以下、当該掲示板:
・9346369:Find 404.com/悪代官の伏魔殿掲示板
※2013.10.14(月)02:19追記:
「追記」の日時の一部が誤っていた(5月が「50」月になっていた)ので修正。
Recent Comments