野中一二さんの「あんしん掲示板」に次のような投稿がされていた。
◇------------
1788 掲示板の解約が完了いたしました。 sinkship234 〔2006/07/18-14:15〕
掲示板の解約が完了いたしました。
内容: BBS-KINGをご利用いただき誠にありがとうございました。
ご連絡ありがとうございました
ttp//www.twsunkom.com
------------◇
わたしは、時々この掲示板を覗いていて、こういう投稿があると書き込まれたURLを確認してみることにしている。
投稿者が以前の投稿で存じ上げている他県の議員さんだったり、御馴染みさんだったりする時は心配ないが、今回のような投稿には「勝手に」自警団のつもりでいる。
このような投稿のリンク先をクリックする時は、その時使っているブラウザが、Mozilla、Firefox や Netscape、Opera であっても 1.JavaScript無効、2.画像非表示、の設定に切り替えることは当然としている。私は Internet Explorer でこのようなテスト閲覧をする事は無い。
しかし、今回はやられた! アクセスした途端に(本当に瞬間的に)デスクトップからブラウザが消えた!
と思う間もなく「新しいプログラムがインストールされました、このファイルを開こうとしています、許可しますか」というようなダイアログをセキュリティ対策ツールが表示してきた。
それが2回続いたが、ファイル名は、explorer.exe と server.exe だったから、ツールの警告を「不許可」として閉じさせた。
セキュリティソフトはウィルス警告を表示しない。従ってこれはスパイウェアだろうという推測ができた。
ブラウザが消えたことは恐らくソースを探られたりする事を防ぐのが目的で、いわゆるブラウザクラッシャー(アクセスしてきた読者のブラウザ挙動を不具合にしてしまう仕掛けをしたページ)ではないと思える。
メモしたファイルを探索して削除することと、念の為にスパイウェア削除ツールでの処理、ウィルスチェック処理をしてから、パソコンを再起動した。
このような場合、再起動する時には、LANケーブルを外しておいたことは当然の処置。
もう一度、確認処理をして問題は無いと分かった時点でLANケーブルを接続し、野中さんの掲示板を再訪問して以下の投稿をした。
◇------------
twsunkom.com
を調べたら、登録者は XIN NET TECHNOLOGY CORPORATION
おや、XINて中国語の読みみたいだということで、
所在地は福建省らしいです。
新規の脆弱性によるものか気になったので、最近見ていなかったセキュリティ関係のサイトを調べていたら、
ジダン選手の「頭突き」問題を悪用--W杯ファンを狙うトロイの木馬が出現
『Websenseが発見したのは、2006 FIFA World Cupの公式サイトを装う偽サイト。この偽サイトは、ジダン選手が決勝の対イタリア戦で起こした頭突き問題をトップニュースとして扱い、「(頭突きを受けた)マテラッツィ選手はジダン選手に一体何と言ったのか?」と訪問者に疑問を投げかける内容になっている。
Websenseが発したアラートによると、この偽サイトを訪問したユーザーのPCはトロイの木馬のダウンロードプログラムに感染し、このサイトからマルウェアをダウンロードするという。「これはユーザーのアクションを介さずに行われる」とWebsenseは述べている。』
今回の twsunkom.com のページはこれとは違いますが、
ブラウザのセキュリティ設定に関係なく、アクセスすると同時にこちらに飛び込んできたという感じでした。
二つの小さなプログラムがインストールされ、起動されるという警告がセキュリティ・ソフトにより表示されたので、それは承認していないよ!と起動不許可で対応しました。
急いでメモしたファイル名から検索すると、システムディレクトリの中で見つかり削除。
更にスパイウェア検索ツールで確認されたものを削除、ウィルスチェックツールで確認として、これは何も無い事を確認。
スパイウェアやウィルスはレジストリも書き込んでいて、パソコン起動と同時に常駐する仕掛けになっているがほとんどだと思いますが、レジストリの部分は確認できずに、
スパイウェア除去ツールに任せました。
再起動して、もう一度全てをチェック、特にタスクマネジャーを見て、日頃見慣れないものが動いていないかも確認。とりあえずOKだということで、こちらに投稿させていただきます。
------------◇
私は人種差別、偏見を持たないと自負してきたが、最近は東アジア諸国の人々(在日を含めて)に対する偏見に陥りつつある。日本語が達者な場合に、冒頭のごとき言辞を弄して誘いをかけてくるという点でも不愉快極まりない。・・・但しこれはインターネットに関係する場合に、と限定するように自戒している。
スパムメールのほとんどがこれら地域のサーバーから来ている事も確認している。私のメール用サーバーではこれら地域のドメインを持つメールアドレスからのメールはスパム処理という設定にしてある。
Yahooドメインからのメールも9割以上がスパムだ。これはプロバイダーの責任だと考えている。以前の「甲府再成勝手連」ホームページ閉鎖の理由の一つはこれだと聞いている。