GOM Playerのアップデートウイルスに感染したかどうかの確認方法
本当に,この手のニュースが多くなったと思う。
GOM Playerは無料で利用できる,動画再生ソフト。
再生可能なファイルの多さから人気が高いソフトだ。
ノラ猫。も去年の秋ごろから使い始めている。
正規のアップデートで不正プログラムが実行?!
そんなGOM Playerが,アップデートすると,ウイスルに感染し,PC乗っ取りや改ざんを受けてしまう可能性があることがわかった。
詳しくは,公式サイトをご覧頂きたい。
攻撃の理屈の解説は,標的型攻撃に関する調査を行う過程で、正規のソフトウェアのアップデートを装いコンピューターウイルスに感染させる、複数の事案を確認することにより,今回の事象を発見した株式会社ラックのHPで解説されている。
GOMを利用してたらみんな感染しちゃうの?
さて,GOM Playerを利用しているユーザーは全員感染してしまったのか?というとそう言うわけではない。
公式サイトでもアナウンスされているが,主に「2013年12月27日(金)から2014年1月16日(木)の間」にアップデートを行ったユーザーに限定される模様。
でも,自分が利用しているGOM Playerがいつアップデートしていたかを意識していない場合も多いかもしれない。
それで,今回は,自分が利用しているGOM Playerが改ざんされていないかどうかの確認方法をご紹介。
方法は,株式会社ラックの解説を参照している。
感染しているかの確認箇所は二箇所
確認すべきデータは二箇所。「GrLauncher.ini」と「GrVersion.ini」。
#ラックの説明では,「メモ帳」などとなっているが,メモ帳で開くと改行されずに表示する場合があるので,できれば,「TeraPad」などのテキストエディタで開くことをおすすめする。
確認1:インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が
http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
ノラ猫。のWindows7の場合は,画像の通り確認する。
ひらいてみて,赤枠のようなURLなら問題なし。
もし,その他のアドレスなら感染が疑われる。
確認2:ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目がhttp://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
ノラ猫。のWindows7の場合は,画像の通り確認する。
ひらいてみて,赤枠のようなURLなら問題なし。
もし,その他のアドレスなら感染が疑われる。
しかし,今回,ラックが気づいたから良かったものの,気付かずにスルーされていたら,被害は拡大していったかもしれない。
ニュアンスからして,GOM Playerを運営するGRETECHは,指摘されて初めて気づいたようだ。
今回の様な攻撃の場合,サービスを利用するユーザーが防ぐ事はかなり難しいと思われる。