要注意:GOM Playerの自動アップデートでウイルス問題の対策・確認方法

正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック

本事案においてウイルス感染に悪用されたソフトウェアは、GRETECH Corp.が提供する動画再生ソフトウェア「GOM Player」です。「GOM Player」の起動時に、製品のアップデートを促され実行した際に、アップデートプログラムを装ったコンピューターウイルスに感染し、外部からの遠隔操作が行われる状況になっていたことを確認しました。感染パソコンは、遠隔操作されることで、パソコン内や内部ネットワークの情報窃取など様々な被害を引き起こす恐れがありました。
正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック



ついさっき入ってきた情報なので取り急ぎ。


GOM Playerだけではなく、GOM Playerを含むすべてのGOM製品(GOM Encoder、GOM Audio、GOM Tray)のアップデートサービスを一時中止したとのこと。


それらの製品を使っている場合は、自動アップデートを切っておいたほうがいい。
念のためBandicamあたりも切ったほうが安心。同じGRETECH Corp.提供のソフトなので。


例として、GOM Playerの場合は以下のようにする。

  1. GOM Playerを起動

  2. キーボードのF5を押して環境設定を開く(右クリック→環境設定でもいい)

  3. 「一般」タブ→「アップデート」タブ→「最新バージョンの自動チェック」のチェックを外す


GOM.png


近年のGOM Playerは、ソーシャルゲームもどきを配信したりして、変な通信が増えて気持ち悪い。
ファイアウォールの設定でGOM製品の通信はすべて切っておくようにしたほうがいい。


■ファイアウォールの設定でGOM Playerの通信をブロックする


以下の例はCOMODO Firewallの日本語版を使用している。

1)タスクバーのアイコンをダブルクリックしてメイン画面を開く

2)「タスク」をクリック
GOM_comodo01-s.jpg

3)「ファイアウォールタスク」をクリック
GOM_comodo02-s.jpg

4)「アプリケーションをブロック」をクリック
GOM_comodo03-s.jpg

5)GOM Playerのインストールフォルダを開き、.exe(実行ファイル)をブロックする
GOM Playerのインストールフォルダの場所
OSが7/VistaならGOM Playerのインストールフォルダは以下のどちらかの場所にある。
自分でインストールフォルダを変更した人はそこ。
C:\Program Files (x86)\GRETECH\GomPlayer
C:\Program Files\GRETECH\GomPlayer

通信に使われるのは以下のファイル
GOM.EXE:広告を受信する。邪魔なので遮断でいい
GrLauncher.exe:アップデートの確認などに使われる。もちろんブロック。

GOM Playerのインストールフォルダには、他にも.exe(実行ファイル)がある。
不安なようならそれらもすべてブロックしておくといい。

他にGOM製品(GRETECH Corp.提供ソフト)を使っているなら、同じ要領でそれぞれをブロックしておくとさらに安心。


■ウイルスに感染したかどうかの確認方法


1)ネットワーク管理者向けの方法
ファイアウォールやプロキシサーバーの通信ログで以下と通信していないか確認する。
testqweasd.tk
211.43.220.89
114.202.2.4

※これらは今現在確認されているものなので、IPアドレスが変わっていたり増えたりする可能性もある。


2)PCから確認する方法
  1. GOM Playerのインストールフォルダを開く

  2. 「GrLauncher.ini」をメモ帳などで開く

  3. 「VERSION_FILE_URL」の部分が「http://app.gomlab.com/jpn/gom/GrVersionJP.ini」以外になっていないか確認する。

※これは今現在確認されているものなので、他の情報が追加される可能性もある。



■感染していた場合の対処


「感染していたかもしれない…」程度でも、念のため対応しておいた方がいい。
  1. PCに入っているウイルス対策ソフトで詳細にフルスキャン
  2. ウイルスが見つかったら各ソフトの操作方法に従って駆除する

※ウイルスの詳細が発表されていないため、ウイルス対策ソフトでもウイルスが見つからない可能性がある。上記対処でも完全に安心できないのが実状。
だからといって個人でできることには限りがあるので、これ以外に有効な対処がないのも事実。


今回の問題は、GOM Playerにかぎらず『企業内で使用している正規ソフトウェアのアップデートにおいて同様の仕掛けがなされる危険性も』あるそうなので、自動でアップデートされるソフト全般で気をつけたほうがよさそう。


2014/01/25追記
GOM Playerの配布元から発表があった。
2013年12月27日から2014年1月16日の間にアップデートした場合、マルウェアへの感染のおそれのあるとのこと。

(3)マルウェアへの感染のおそれのある期間

2013年12月27日(金)から2014年1月16日(木)の間
報道に対する弊社からのお詫びとお知らせ - GOM Player【ゴムプレーヤー】

関連記事



テーマ : パソコン関連お役立ち情報
ジャンル : コンピュータ

コメントの投稿

非公開コメント

No title

ちょっと前に新聞読んで知ってブログ更新したらこっちにも書いてあった。
しかし、アップデートからウイルス感染するなんて、FirefoxやREDSTONEのアップデートも安心してできなくなるな。
この間はbaidu imeとか言うのが自動送信していたとかあったし、特に海外製のソフトは怖くて使えん。

>おじさん

ほんとだよなー。
だからといって、自動アップデートを使わなくても「水飲み場型攻撃」ってやり方もあるらしいし。
お互い気をつけなくちゃね。
ブログ内検索
カスタム検索
プロフィール

兼業農家ツベル

Author:兼業農家ツベル
PC(パソコン)ときどきゲーム。ニュースも少々。

平成28年熊本地震に被災しました。今は元気です。

最近自分がアスペルガー症候群(AS)の特性が強いことがわかりました。

更新通知用:@tbrcln

カテゴリー
スポンサードリンク
●Amazonクーポン
「Amazonクーポン」のページにて、期間限定でAmazonのクーポン券がもらえます。
お買物前にチェックするとお得です。
タグクラウド

author by SUH
お知らせ
『.imtp.tachikawa.mopera.net』を含むhost、NTT docomoの提供する「mopera U」の環境からはアクセスできません。

野良黒 FC2を狙った迷惑なコメントが増殖中
スポンサードリンク
Amazonの検索が楽になるリンク
●【まとめ】 Amazonのバーゲン・セール・お買い得情報まとめ

●Amazonの「あわせ買い対象商品 」だけを検索する方法

●Amazonから「予約注文商品」だけを検索するためのリンク一覧
最近の記事
Archives
掲示板
FC2カウンター
リンク
RSSフィード