「GOM Player」のアップデートでウイルスに感染、ウイルス対策ソフト効果無し

感染しているかチェックする方法も公開

「GOM Player」のアップデートでウイルスに感染、ウイルス対策ソフト効果無し

「GOM Player」アップデートを装いウイルスに感染させる事案に注意
http://getnews.jp/archives/500342

ラックは23日、同社が運営するサイバー事件・事故緊急対応チーム「サイバー救急センター」にて、正規ソフトウェアのアップデート時にウイルスがPCにダウンロードされる事案を確認したとして、注意を喚起した。同チームは「標的型攻撃の新しい手口」と捉えている。

この手口が確認されたのは、GRETECH Corp.が提供する動画再生ソフトウェア「GOM Player」。該当ソフトの起動時、正規アップデートを促され実行すると、PCがアップデートプログラムを装ったウイルスに感染し、外部から遠隔操作が行われる状況になっていたという。

正常なアップデートでは、ソフトウェアが正規サーバにアップデート設定ファイルの確認を行った際、サーバから正常なアップデート設定ファイルがダウンロードされる。その後、設定ファイルの要求に従い、正常なアップデート実行ファイルがPC側にダウンロードされる。

今回のアップデートウイルス感染の流れ

自分が不正アップデートされたかどうかチェックする方法。

(1)『GOM Player』がインストールされているフォルダを開く。
例：（C:\Program Files (x86)\GRETECH\GomPlayer\）

(2)「GrLauncher.ini」というファイルをテキストエディタで開く。

(3)VERSION_FILE_URLの項目が「http://app.gomlab.com/jpn/gom/GrVersionJP.ini」なら正常。

(4)「%AppData%Roaming\GRETECH\GomPlayer」にある「GrVersion.ini」を開く（上記のファイルとは別）。
例：（C:\Users\ユーザー名\AppData\Roaming\GRETECH\GomPlayer\GrVersion.ini）
WindowsXPの場合は：%Appdata%\GRETECH\GomPlayer

(5)DOWN_URLの項目が「https://app.gomlab.com/jpn/gom/GOMPLAYERJPBETASETUP.EXE」なら正常。

　ウイルスに感染したPCは、内部PCや内部ネットワークの情報を窃取するなど、外部から遠隔操作される状態になっていた。GOMプレイヤーに関しては以前からそれ以外にも問題があって、ユーザーが再生している動画のファイル名や埋め込み情報をどこかへ送信していたり、映像と音声の同期がずれたり、どうも謎な動きをする。
　ただ、コーデック含めたアップデート機能と再生画面キャプ、再生速度調整、リピート、完全日本語化など、だいたいの製作者が避ける面倒臭い要望を潰してあるのが強みだったから他のソフトに何らかの不満があってGOM使うと移行先がマジでなくなる。

「GOM Player」のアップデートでウイルスに感染、ウイルス対策ソフト効果無し