【危険】「GOM Player」のアップデートでウィルスに感染する事例の確認方法(追記あり)

Gomplayer 2

Windows用の人気動画プレーヤー「GOM Player」のアップデート機能を悪用したウイルスが発見され、セキュリティ支援会社ラックが注意を喚起しています(ラックGOM Player側の見解窓の杜読売新聞)。
ウイルスに感染すると、PCを遠隔操作されてしまうそうなので凄く危険。要注意です。

攻撃の仕組み

アップデート機能を利用したウイルスなんて今まで聞いたことが無かったので、どういう仕組みで攻撃を行っているのか凄く不思議だったのですが、ラックの概念図を見て納得。

NewImage

正規アップデートサイトではなく、不正規の踏み台サイトに誘導し、そこからウィルスを送りつけられてくるという流れになっています。

GOM PlayerはアップデートサイトのURLをiniファイルで持っていて、このURLが不正に書き換えられているようです。

確認方法

ラックのサイトにある確認方法を引用します。

GrLauncher.iniの確認

GOM Playerのインストールフォルダ(C:\Program Files (x86)\GRETECH\GomPlayerなど)にある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。

2014 01 24 112138

GrVersion.iniの確認

ユーザーのローカルフォルダ(%Appdata%\GRETECH\GomPlayer)にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目がhttps://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。

2014 01 24 112048
そもそもどうやってiniファイルが書き換わっているのかわかりませんが、ユーザーは早めに確認しておいたほうが良いでしょう。ちなみにGOM Playerを含むすべてのGOM製品のアップデートは一時停止中とのことです。

追記(2014/01/25)

続報がありました「報道に対する弊社からのお詫びとお知らせ」によると、マルウェアへの感染のおそれのある期間は「2013年12月27日(金)から2014年1月16日(木)の間」」とされています。期間中にアップデートした可能性のある方は「セキュリティソフトを最新の状態にアップデートしたうえで、ウイルスチェックと駆除を実行」するよう推奨されています。

とはいえ、いつアップデートしたか正確に覚えている人は少ないと思います(私も覚えてないし)。現在GOM Playerをインストールしている人はPCのフルスキャンを実行しておいたほうが無難かもしれません(そもそも感染するウイルスの種類が不明なので、アンチウイルスソフトが検出可能かどうかその辺よくわからないんですけど…)。

スポンサーリンク