Kaspersky Labs Japan、「Gumblar 亜種に続く、Pegel 対策に関する留意点」を告知

Kaspersky Labs Japan は、2010年2月16日、猛威を振るった Gumblar 亜種（Gumblar-x）に酷似した Pegel への対策についての告知を行った。

Gumblar 亜種は 2009年10月14日に検知され、以降日本の大手企業サイトにも数多く感染したことから注目を集めた。その後は、Gumblar 亜種に変わり Pegel（ピーゲル）の国内大手企業サイトへの感染が確認されている。

いまだ感染後の対策が十分にとられていないケースも見られるため、Kaspersky Labs Japan では、あらためて対策について告知することとした。

Pegel は、Gumblar 亜種と同様の Web 誘導型のマルウェア。改ざんされた正規サイトを閲覧した訪問者は、不正サイト（ru:8080 など）へ誘導される。

改ざんにより正規のホームページが感染源になってしまう点と、そのサイトにアクセスした PC が不正プログラムに感染させられ、新たな感染源になって二次、三次の被害が拡大し続ける点が特徴となっている。

2009年12月21日にこのマルウェアを検知してから2010年1月24日までの間、カスペルスキーでは国内380以上の感染サイトを確認している。日本の大手企業サイトにおいても感染が確認されており、いまだ十分な警戒が必要とされる。

当該攻撃では、正規のサイトが改ざんされ、不正ページへリダイレクトするスクリプトが埋め込まれているため、閲覧者側には、表面上の変化はない。そのため、知らぬ間に感染の危険性にさらされることになる。

また、感染が確認された場合は、様々なマルウェアのダウンロードが次々に試みられる可能性があるため、感染後の対策としては OS の再インストールが望ましい。

Gumblar 亜種と Pegel の主な違いとしては、対象となる脆弱性に JRE がふくまれること、特徴的なコードとして「ru:8080」、「GNU GPL」、「CODE1」など、感染後の代表的な動きとして、BotNet への参加、偽アンチウイルスソフトウェアのインストール、偽アンチウイルスソフトウェアによるクレジットカード情報の窃取、スパムメールの送信などが挙げられている。

これらの特色により、Pegel 感染予防策として、JRE を最新版にアップデート、古いバージョンの JRE が必要ない場合は明示的にアンインストールするといった対策が挙げられている。

カスペルスキー製品では、現在出まわっている新型の脅威に対応しており、同社では、感染の確認ならびに駆除を行うために、評価版の利用を促している。