• ベストアンサー

IEで新規ウインドウが立ち上がり危険なサイトへアクセス

2週間ほど前から、IEを開き、何かページを読み込む(たとえば、検索で検索結果が表示されるときなど)と、勝手に新しいウインドウが開いてしまいます。 現在、ウイルスバスター2009の機能でそのページ自体は表示されずにブロックされています。 アドレスバーを見てみると、毎回 ttp://****/hitin.php?land=20&affid=02919 というURLに飛ぼうとしてブロックされているようです。 スパイウエアかと思い、ウイルスバスター2009で全検索を行いましたが、 それらしきものは検出されませんでした。(Cockieが何個か検出されましたが、以前から検出されており、今回の件では関係ないと思われます。) タスクマネージャを見ても、それらしいプロセスも動いていませんでした。 原因が分かる方がいらっしゃいましたら、ご教授お願いいたします。 ●環境 OS:WindowsXP Professional Version 2002 Service Pack 3 セキュリティ製品:ウイルスバスター2009(最新アップデート適用) ブラウザ:InternetExplorer 6

質問者が選んだベストアンサー

  • ベストアンサー
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.9

>IEを開き、何かページを読み込む(たとえば、検索で検索結果が表示されるときなど)と、勝手に新しいウインドウが開いてしまいます。 8番さんのご意見と相反しますが、特定のページではなく、いずれのページにアクセスしても同様に新しいウインドウが開くという症状は、まさにブラウザハイジャッカーの動作ではないかと思われます。 私自身がIE6のユーザーであり(Firefoxがメインで、たまに使う程度ですが)、こうした症状が全くないこともありますが…ブラウザをIE7や8にすれば改善される問題であるとは考えにくいと思います。 >ひとまずAd-Awareを入れてみて、その後の状況に応じてHijackThisを利用してみたいと思います。 正直…それでは甘い、と思うのですが。 次のページを見つけました。 BleepingComputer.com > DDS log http://www.bleepingcomputer.com/forums/lofiversion/index.php/t236407.html 質問者さんと同様の症状が見られるケースであり、最初からHijackThisよりも高度な解析ツールであるDDSが利用され、対処にもComboFixが指示されています。 明らかにAd-AwareとHijackThisで応急的な処置、というのでは手遅れな事例だと思われます。早急にhigaitaisaku.comへの移動、もしくはリカバリを決断してください。 なお、higaitaisaku.comへの移動の際には、事前にこの質問を締め切ってください。 Windowsで安全にリカバリを進めるためには、次のURLを参考にしてください。 http://iwata.way-nifty.com/home/2004/10/1017.html XP SP3やVista、それ以降のOS搭載機に関しては、基本的にXP SP2と同様と考えてください。 なお、昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。 次のような点に注意すべきだと考えます。対処出来ていない点がないかどうかをチェックしてみてください。(意味が分からない用語は、e-Wordsで調べるなどして理解に努めてください。) http://e-words.jp/ 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 XPまでのWindowsで、もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsやRUNASAのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html http://www.oshiete-kun.net/archives/2007/04/vistauacxprunasa.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsやRUNASAを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 ReducedPermissionsの入手は、次の各URLから行うことが出来ます。 http://download.cnet.com/Reduced-Permissions/3000-2239_4-10572884.html http://www.softpedia.com/get/System/System-Miscellaneous/Reduced-Permissions.shtml なお、Windows Vista以降のIEでは、保護モードにおいて感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。 3)ファイアウォールを有効にする。 出来ることなら、ファイアウォール機能の付いたブロードバンドルーターを介してネットに接続することが望ましいです。それが出来ない場合には、パーソナルファイアウォール機能を含むウイルス対策ソフトを利用しましょう。 最低でもWindowsファイアウォールを有効にしておけばそれなりの効果は期待出来ますが、例えば各種共有機能が有効になっているとそれ関係のポートが開かれたままの状態になり、ネットワークウイルス感染や不正侵入を防げない可能性もあります。より確実に不正な通信をブロックするためには、やはりブロードバンドルーターかパーソナルファイアウォールを別途導入するのが望ましいです。 4)怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。 興味深いネタへのリンクと称して怪しいリンクを踏ませたり、動画再生に必要なコーデックなどと偽って怪しいファイルをダウンロード、実行させようとする手口は後を絶ちません。十分な注意が必要です。 このような騙しに遭わないためにも、先述したようなニュースサイトで最新の情報を常時チェックされるのが望ましいです。 5)オートラン設定を無効化しておきましょう。 最近いわゆる『USBメモリを介する感染』というのが増えていますが、感染が広がる要因の一つと言われているのがUSBメモリ内プログラムの自動実行などに使われるオートラン機能です。 実はこのオートラン機能、標準設定ではハードディスクなどあらゆるメディア上で有効になっているために、これを悪用した感染が簡単にPC全体に波及することになりがちです。 Windows の自動実行機能を無効にする方法 http://support.microsoft.com/kb/967715/ja 上記URLにて『自動実行機能を無効にするための必要条件』とされている更新プログラムをダウンロード、インストール後に、次のURLにてWindowsの各バージョン毎に紹介されている方法に従って、自動実行機能を無効化してください。 http://www.ipa.go.jp/security/txt/2009/05outline.html Windows Updateを励行し、ウイルス対策ソフトを最新の状態に保つだけでは今日発生する感染の多くを避けることが困難になっています。感染の原因となるウイークポイントの克服に、より深く取り組む必要性が出て来ていると思われます。

bo-------z
質問者

お礼

ご回答ありがとうございます。 また、お礼の書き込みが遅くなってしまい、申し訳ありません。 ryu-fizさんのおっしゃる通り、認識が甘かったです。 ryu-fizさんのご回答を参考にさせていただいて、勉強していきます。 とても詳しく丁寧にご回答いただいたので、良回答のポイントを付与させていただきたいと思います。 ありがとうございました。

その他の回答 (13)

  • bonom___
  • ベストアンサー率0% (0/1)
回答No.14

No.6、No.9の同様の被害の者です。 色々とご指摘頂きありがとうございます。 現状の対策、予防策含めて勉強になりました。 昨日、今日とでバックアップ作業を完了しました。 OSの再インストールも可能ですが、 higaitaisaku.comにて識者の意見を伺おうと思います。

bo-------z
質問者

お礼

着々と進めていますね。 私も遅ればせながら進めております。 明日(もう今日か…)も仕事なので、そろそろ仮眠を取りますが、アダ被様のサイトの識者の方々のご回答を待ちながら、バックアップ作業を進めていきます。 お互いいろいろと勉強になりましたね。 今後この経験を活かしていきましょう。 ************************************************ bonom_さんのお礼の書き込み欄で大変恐縮ではございますが、この質問にご回答、情報のご提供いただいた皆様にお礼を述べさせていただきたいと思います。 皆様、本当に大きなお力添えありがとうございました。

  • John_Papa
  • ベストアンサー率61% (1186/1936)
回答No.13

No.3です。 3日経ちますが、 >ひとまずAd-Awareを入れて検索・駆除を行って、ケースが改善されなかったら、HijackThisを使ってみようと思います。  と行ったきりですね。質問主さんは。 まともにリクエスト先に行き着けない状況が発生している時の、ダウンロードやアップデートは非常に危険です。 また、新モノのマルウエアはアンチウイルスやアンチスパイソフトでまともに除去できる可能性はすくない。 『焼け石に水』どころか、かえって事態を悪くしてしてしまうことがままあるのです。 とりあえずできることは、アダ被(higaitaisaku.com)さんへ行くことだったんですが・・・ あちらには、まだ現れてらっしゃらないようです。 心配してます。 bonom___さんも、症状が出るならいじりまわさないで、アダ被さんでHijackThisのログを見てもらってください。 ryu-fizさんの言うとおり、最悪の場合リカバリは覚悟しておきましょう。 先だってのGENOウイルスに感染した多くの人たちも、リカバリで復帰したのです。

bo-------z
質問者

お礼

最近アクセスできていなくて、お返事、現状の報告が遅くなってしまい、申し訳ありません。 ご心配をおかけしました。 さきほど、アダ被様(前の方々へのお礼で漢字間違えてました…すみません。)のサイトでログを見ていただくべく、投稿させていただきました。 現在ノートPCを利用し、件のPCはログを取って投稿させていただいて以降は電源を切っております。 本当にご心配をおかけして申し訳ありませんでした。 いろいろと勉強になりました。 ありがとうございました。

  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.12

9番目に回答した者です。 >気持ち悪いのでNo.10のryu-さんの意見を参考に >解決するまで色々と検討してみます。 もう一度繰り返します。 早急にhigaitaisaku.comへの移動、もしくはリカバリを決断してください。なお、higaitaisaku.comへの移動の際には、事前にこの質問を締め切ってください。 前回の回答で『次のような点に注意すべきだと考えます。』としてアドバイスしたものは、あくまでも『予防策』です。深刻な感染に遭った後からこれらの策を講じても、既に手遅れなのです。 予防策は、パソコンがクリーンな状態で行なってこそ十分な効果を示すもの。後手に回ってからやるのではまさに『焼け石に水』ですよ。

bo-------z
質問者

お礼

質問の締め切りや適切な質問サイトへの移動が遅くなってしまっていました。 申し訳ありません。 さきほど、アダ彼様のサイトへと移動いたしましたので、この質問は締め切らせていただきました。 『予防策はクリーンな状態でこそ効果を示す。』 この言葉を肝に銘じて、今回の件が決着したら今後の対策を講じてまいります。 ありがとうございました。

noname#147176
noname#147176
回答No.11

No.4、No.7です。 〉〉ttp://*****.com/hitin.php?land=20&affid=02978 やはり、No4で回答したとおり、 Trojan-Downloader.HTML.FraudLoad.a のようです。(カスペ) 次から、次に飛ばし先をリアルタイムで変更しているみたいですね。 上記のリンクは、そのサイトで確認したところ、一見マイコンピューター と、そっくりな画面が出てきます。そして、その画面の中に、スキャンを しますか、のような、表示が載せられています。 PCに不慣れな人は、Winwowsの正規のシステムと勘違いして、引っかかって しまいますね。 たぶん、その画面で、スキャンを実行してしまうと、完全な乗っ取り システムを入れられてしまうと思います。 出来れば、早急に、ネットを切断し、必要な物はバックアップし(と言っても すでに手遅れ?)リカバリーを実施されることを推奨します。 最後に、その悪質サイトの表示が、『マイコンピューターオンラインスキャン』 となっています。

bo-------z
質問者

お礼

たびたびのご回答ありがとうございます。 現在、アダ彼様のサイトの質問掲示板の回答待ちの状態です。 件のPCはログを取り、質問を投稿させていただいた後は電源を切り、ネットにはノートPCからアクセスしています。 PCに入っていたものを思い出し、バックアップとして取っておくものを リストアップしておこうと思います。 追加の情報ありがとうございました。

  • bonom___
  • ベストアンサー率0% (0/1)
回答No.10

No.6の同様の症状の者です。 spybotを追加で試し、怪しいファイルを削除しましたが 本日は前日出た時間から約25時間後に症状が出ました。 ↓本日のアクセス先 ttp://*****.com/hitin.php?land=20&affid=02978 1日周期で発生しており、且つ頻繁に接続先のサイトが変わるため 自動アップデートみたく周期的に指定のリンクにアクセスし そのリンク先がウイルスサイトへ転送する仕組み・・・と 推定しております。 firewall+ウイルスバスターの環境下にあり 外部から不正操作されるような状況には陥ってないと信じたいですが 気持ち悪いのでNo.10のryu-さんの意見を参考に 解決するまで色々と検討してみます。

bo-------z
質問者

お礼

私はアダ彼様のサイトの質問掲示板に投稿させていただきました。 たくさんの方々がとてもためになるご回答をくださっていますので、お互い解決目指してがんばりましょう。 追加の情報ありがとうございました。

回答No.8

ご質問にあるURLのソースを調べてみましたところ、 アラートオープン、ループタグ、逃げウィンドウが見つかりました。 つまり、このページにはブラウザクラッシャ(所謂ブラクラ)が仕組まれているということになります。 うっかりこのページを開くとブラウザが無限に立ち上がり、 そのうちにPCがハングアップを起こしてしまうことになります。 今のところページ自体にはワームやトロイ関係は見つかりませんでした。 さて、ブラクラ自体はそのページを開かなければよいのですが、 そのようなページを開く原因は、質問者さんのPCの中に潜んでいるはずですので、 徹底的にスキャンして調べるか、さもなくばPCをリカバリーするのが賢明でしょう。 潜んでいるであろうマルウェアがスパイウェアとは限りませんので、 今の時点でスパイウェアと決めてしまうことは控えるべきですね。。 Spybot S&DやAd-Awareでスキャンするのも無駄にはなりませんが、 検出力の高いカスペルスキーのオンラインスキャンを利用したり、 a-squared Freeのような強力なマルウェア対策ソフトでスキャンするほうが良いように思います。 もちろんこれがGENOウィルスによるものであれば、 検出されることは難しいと思いますが・・・。 IE6をお使いとのことですので、 IE6の脆弱性を突いたマルウェアであるとの仮定に立てば、 上位バージョンにアップデートして様子を見るのも検証方法のひとつでしょう。 また、IE以外のブラウザ(FirefoxやOperaなど)でどうなるかも試してみることで、 原因の所在の絞込みができるかもしれませんね。 以上、ご参考になれば幸いです。

bo-------z
質問者

お礼

ご回答ありがとうございます。 お礼の書き込みが遅くなってしまって申し訳ありません。 さきほど、他の回答者の方々が教えてくださったアダ彼様のサイトに投稿させていただいたところです。 ソースを見ると、そんなところまで分かってしまうものなのですね。 パソコン、セキュリティの勉強が足りませんね。。 今後、勉強するときのご参考にさせていただきます。 ありがとうございました。

noname#147176
noname#147176
回答No.7

No.4です。 〉〉ttp://*****.com/hitin.php?land=20&affid=02919 〉〉ttp://*****.com/hitin.php?land=20&affid=02978 〉〉ttp://*****.com/hitin.php?land=20&affid=02918 (一番最後の数値のみが変化していますね) もうすでに、これらのサイトは閉鎖されています。 ほんとにあっという間に立ち上げて、さっさと閉鎖していく 感じですね。 もう上記のサイトが閉鎖されているので、この件で、これ以上 悪くなることはないと思いますが、 飛ばされている原因については、No.3さんの回答にも出ている、 こちらに相談されてみたらよいと思いますが。↓ http://www.higaitaisaku.com/ 感染経路については、スパムメールか、どこかのサイトを踏んだ時に、 レジストリなどを書き換えられていると思います。

bo-------z
質問者

お礼

さきほど、アダ彼様のサイトの質問掲示板に投稿させていただきました。 サイトを踏むだけでレジストリが書き換えられてしまうなんて…恐ろしいですね。。 追加の情報ありがとうございました。

  • bonom___
  • ベストアンサー率0% (0/1)
回答No.6

私も同様の症状が1ヶ月前から出ております。 環境はWindouws2000sp4、ウイルスバスター2009(最新アップデート適用) ブラウザはIE6です。 ウイルスバスター2009、シマンテックオンラインスキャンでは 検出できないのを確認してます。 ↓最近のウィルスバスター履歴 ttp://*****.com/hitin.php?land=20&affid=02978 ttp://*****.com/hitin.php?land=20&affid=02918 具体的な症状は (1)IEもしくはExplorer(フォルダなど)起動によりIE新規ウインドウが出る (2)ほぼ24時間周期で生じている (3)USBメモリを介してコピーはされてない(多分・・・) (4)1週間おきに接続するサイトが変わっている(以前の接続先は失念しましたorz) 感染経路ですが不明です。 質問者のbo---さんも近い症状かと思います。 解決方法がありましたら、是非教えていただければ幸いです。

bo-------z
質問者

お礼

忙しくてしばらく教えてgooにアクセスできないでいて、お礼が遅くなってしまってすみません。。 bonom_さんも同じ症状ですね。。 Ad-Awareでも検出されなかったので、私は今から早急にHijackThisを導入し、識者の方々のご意見を仰ごうと思います。 情報のご提供ありがとうございました。

  • redirect
  • ベストアンサー率22% (117/514)
回答No.5

マルウェアを集めてテストなどをしている者です。 まあ、他の方が言うようにRogue物のソフトをインストールさせようとするみたいです。 で、ちょっと調べたらhostsファイル改ざんの可能性があるような感じです。 ちなみに、HijackThisはレジストリエントリを表示するものです。稼動プロセスとは直接の関係はありません。

bo-------z
質問者

お礼

ご回答ありがとうございます。 hostsファイルの改ざんという手法…なかなかえげつないですね。。 ひとまずAd-Awareを入れてみて、その後の状況に応じてHijackThisを利用してみたいと思います。 ありがとうございました。

noname#147176
noname#147176
回答No.4

そのサイトは、やはり感染しているみたいですよ。 Trojan-Downloader.HTML.FraudLoad.a そのサイトは、オンラインスキャンを装って、偽のツールなどを インストールさせようとしている気がしますが。 最低限、ウイルスバスターが、ブロックしているみたいですが、 問題は、何故そのサイトに飛ばされているかだと思います。 発生しだした2週間ほど前に、何か心当たりはありませんか。

bo-------z
質問者

お礼

ご回答ありがとうございました。 2週間ほど前…特に変わったことはしていないと思うのですが。。 でも、何か原因がなかったら変化は起こらないわけですし、気付かない原因があるんですよね。。 当初はページブロックされておらず、オンラインスキャンを勧めるページが表示されていましたが、即閉じるようにしていました。 ひとまず、皆様から頂いたご助言を参考に、Ad-Awareを導入してみて、ダメならHijackThisを利用してみます。 それでも解決しないときは、また皆様のお力をお借りすることになるかもしれませんが、どうぞよろしくお願いいたします。 ありがとうございました。

関連するQ&A

専門家に質問してみよう