アップデート機能経由でウイルスに感染する事例が報告された「GOM Player」ですが、開発元GRETECHより、「マルウェア(ウイルス)感染被害の確認方法について」と題した追加情報が公開されています(窓の杜)。
発表によるとGOM Playerが感染したかどうかを確認するために、GOM Playerの実行ファイル「GOM.exe」のデジタル署名も利用できるということ。
64bit版Windowsの場合「C:\Program Files (x86)\GRETECH\GomPlayer」にあるGOM.exeのプロパティで、デジタル署名タブを表示し、署名者名が「GRETECH」、タイムスタンプが「2013年12月19日 10:19:37」ならOKということです(上の画像ならOKです)。その他iniファイルを使った確認方法や、インストラーファイルを使った確認方法もあるので、詳細は公式サイトを確認してください。
ちなみにセキュリティ会社ラックの報告によると、日本国内の個人ユーザーでGOM Playerに感染した人は存在しないようです。
しかし、この期間内にアップデートをしたと考えられる個人ユーザー様数十名から当社にご提供いただいた環境を確認した結果、全ての個人ユーザー様の環境において感染の事実は確認できませんでした。
このことから、当社は当初の注意喚起時により指摘していますが、GOM Playerアップデートサーバー、または踏台サイト(日本)で何らかのアクセス制御が行われており、攻撃者が標的としている組織以外はウイルスの感染は行われていない可能性があります。
どこか特定の組織を標的とした攻撃なんでしょうか。謎が深まりますね。
