取り急ぎノートPCよりこんにちは

概要

当ホームページのWEBページ改ざんについての現状と対策

１．現状

概要
昨夜９時よりメインPCが通常起動不能になりました
関係の有無は分かりませんがこのWEBページは改ざんを受けており、不正なJavascriptが挿入されています
現在も取り除けていません

メインPC発症時の詳細状況
感染日時不明、explorerが落ちたりしてた記憶有り
昨日夕方、ホームページに不正スクリプトが挿入されていないことを確認
昨夜９時頃、ホームページ更新のため関連ファイルを整理（移動、上書き、削除等）した際突然ブルースクリーンにてNtfs.sysが原因のエラー
通常起動は起動完了前に同様のブルースクリーン
セーフモードでは起動可能（たまにexplorerが落ちる）
msconfigにてスタートアップに謎のソフトを確認、全て外しても通常起動不可能

なお現在はホームページ上に不正スクリプトが挿入されていることを確認

復旧状況
sfcコマンドはエラーにより利用不能
Ntfs.sysをi386フォルダやCDからリカバリしても意味なし
メモリーにも異常なし
セーフモード；CHKDSK /fでは異常なし
現在CDよりCHKDSK /p /rの最中

感染時の症状
今ノートPCで確認してみました
一見何も害なくこのサイトを開けてしまった方は危険です。感染時はタスクバー上にJavaのインストールアイコンが出てると思います（なお感染後は出ないと思います）。また、一時的にハードディスクのアクセスランプが絶えなくなります。
至急ウィルスチェック・スパイウェア等の措置をしてください。
→http://www.nifty.com/security/vcheck/
→http://www.forest.impress.co.jp/lib/inet/security/antiadspy/adawarese.html
msconfigによる起動時のソフトを確認するのも良いかと思います
メインPCは謎のソフト（数字の羅列）が入れられていました）

２．対策

エンドユーザー向け暫定的対策
全てに共通してJavascriptを使用して来ています。Javascriptを切ってください。なお、何らかのアンチソフトが反応しているなら大丈夫だと思いますが念の為少しの間は切った方がいいかも知れません

今後のWEBページ改ざん対策
復旧した暁にはFTPアクセス制限をかけます
後手に回ってすみません
甘く見ていました

雑感

ググったところ年末から被害が増えているそうです
参考；http://internet.watch.impress.co.jp/docs/news/20100107_341003.html

CHKDSK /p /r暇だよ・・・何時間かかるんだか
この記事書き始めてから１０％しか進んでない
PS3しよ＾－＾；

--------------------------

追記@1月23 0:40

--------------------------

ブルースクリーンが出てしまった場合の対処

現時点で有効だと思われるのは以下の２つです
１．システムの復元を用いる場合
昨日のではなく、一昨日以前のを使用したら直るとのことです
２．システムの復元を使えない場合
OSのブートCDより、OSの修復インストールをしてください

ブルースクリーンが出てない場合で症状の確認方法

１．症状
PCが重い、explorer.exeが異常終了する、再起動が出来ない
未確認；cmdやregeditが起動できない

２．対策
上記にもありますが
http://www.forest.impress.co.jp/lib/inet/security/antiadspy/adawarese.html
のアドウェアでは何かのエラーが発見できました
なお、ウィルスチェックでは発見できませんでした

--------------------------

さらなる追記@1月23 1:50

--------------------------

トレンドマイクロ　ウイルスバスター2010が対応したようです？
上記ニフティは見つけませんでした

昨日のGumblerウィルスはこれまでのGumblerウィルスの亜種であり別物なので、対策も別に必要なことに注意してください

メインPCにて通常起動直後にsvchost.exeがCPUを占有していることを確認（タスクマネージャのプロセスタブより）

なお、当ホームページから思い続かぎり該当する不正スクリプトを除去しました
が、また入れられる可能性もまだあります（FTPアクセス制限はまだ出来ていません）

--------------------------

さらなる追記@1月23 14:20

--------------------------

そもそもウィルスバスターを起動できなかった
当方XP環境だが、起動直後にsvhost.exeにCPUを占有されるため、プロセスを調べて対応するサービスの回復タブよりエラーが発生しても再起動しないとし、そのプロセスを再起動すればCPU占有は回避出来るようです

だけどもウィルスチェックやウィンドウズアップデートが利用できない

なお、当サイトはまたスクリプト入れられています
お気を付けください

--------------------------

さらなる追記@1月23 17:10

--------------------------

CHKDSKを起動時にスケジュールして修正したのは良いものの、CHKDSKが終わると同時にPCが再起動し、またCHKDSKのキャンセルもなぜか受け付けなかったため起動が出来なくなった。
前回の正常起動時の構成にする。の機能にて起動出来るようになった

msconigにてついこの間は確認していなかったwwwpos32.exeなるものを確認したので削除

しかし関係なくsvchostは暴走するので上記対策にてsvchost再起動

この状態で半ば諦めつつトレンドマイクロオンラインスキャンにアクセスしたら滞りなくアクセス出来ました

今それでスキャン中です