Windows用の人気動画プレーヤー「GOM Player」のアップデート機能を悪用したウイルスが発見され、セキュリティ支援会社ラックが注意を喚起しています(ラック、GOM Player側の見解、窓の杜、読売新聞)。
ウイルスに感染すると、PCを遠隔操作されてしまうそうなので凄く危険。要注意です。
攻撃の仕組み
アップデート機能を利用したウイルスなんて今まで聞いたことが無かったので、どういう仕組みで攻撃を行っているのか凄く不思議だったのですが、ラックの概念図を見て納得。
正規アップデートサイトではなく、不正規の踏み台サイトに誘導し、そこからウィルスを送りつけられてくるという流れになっています。
GOM PlayerはアップデートサイトのURLをiniファイルで持っていて、このURLが不正に書き換えられているようです。
確認方法
ラックのサイトにある確認方法を引用します。
GrLauncher.iniの確認
GOM Playerのインストールフォルダ(C:\Program Files (x86)\GRETECH\GomPlayerなど)にある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
GrVersion.iniの確認
ユーザーのローカルフォルダ(%Appdata%\GRETECH\GomPlayer)にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目がhttps://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。
そもそもどうやってiniファイルが書き換わっているのかわかりませんが、ユーザーは早めに確認しておいたほうが良いでしょう。ちなみにGOM Playerを含むすべてのGOM製品のアップデートは一時停止中とのことです。
追記(2014/01/25)
続報がありました「報道に対する弊社からのお詫びとお知らせ」によると、マルウェアへの感染のおそれのある期間は「2013年12月27日(金)から2014年1月16日(木)の間」」とされています。期間中にアップデートした可能性のある方は「セキュリティソフトを最新の状態にアップデートしたうえで、ウイルスチェックと駆除を実行」するよう推奨されています。
とはいえ、いつアップデートしたか正確に覚えている人は少ないと思います(私も覚えてないし)。現在GOM Playerをインストールしている人はPCのフルスキャンを実行しておいたほうが無難かもしれません(そもそも感染するウイルスの種類が不明なので、アンチウイルスソフトが検出可能かどうかその辺よくわからないんですけど…)。