ここから本文です

GOMプレイヤーのウィルスについて

c_o_c_ashさん

2014/1/2612:40:00

GOMプレイヤーのウィルスについて

今話題のGOMプレイヤーのウィルス感染のチェック方法で、
GrVersion.iniのDOWN_URL の項目が改ざんされており、ウィルスに感染しただろう事がわかりました。

すぐにノートンでシステムの完全スキャンをしたのですが、ウィルスは検出されませんでした。
これは結局、ウィルスには感染していなかったという事なのでしょうか?

もしそうなら、GOMプレイヤーをアンインストールして終わりでいいのでしょうか?

ちなみに、プロパティでは更新日時は2013年12月28日と、微妙な感じでした。
作成日時とアクセス日時は2014年1月5日でした。
更新日時と違うのが気になってもいます。


どのような対処をしたら良いでしょうか?
もし初期化などが必要なら、そのときの留意点などもご教示頂けると幸いです。
よろしくお願い致します。

補足補足です。
知恵袋で同様の事例を調べていたところ、どうやら私のは感染していない可能性もありそうです。

DOWN_URL=https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE
PATH_REG=・・・

↑この1行目の.EXE以降が、メモ帳では改行されずに表示されるのですが、それを改ざんされたと勘違いしておりました。
他の同様の質問を見るに、多分大丈夫だと思うのですが、いかがでしょうか?

この質問は、活躍中のチエリアンに回答をリクエストしました。

閲覧数:
2,133
回答数:
2
お礼:
100枚

違反報告

ベストアンサーに選ばれた回答

編集あり2014/1/2613:07:34

更新用のサーバーが12/27から乗っ取られていた状態なので感染の危険性はあります。
アンインストールすると設定ファイルも削除されるため、その前に教えて貰いたいのですが、DOWN_URLのサイトがどちらになっていたんでしょうか?

ノートンなら対応していると思われるので、Backdoor.Mianchaが過去に検出されていないか調べてみてください。
https://www.virustotal.com/ja/file/52c61a87553e9ad43f14f199e130c48c...

上の内容以外の情報が発見された場合には、被害拡大防止のため関係機関もしくは当社までご連絡ください。との一文があるため感染している場合はIPAやラック等に連絡した方がいいと思います。
発見されていない亜種の場合検出されない事も考えられますから。
http://www.lac.co.jp/security/alert/2014/01/23_alert_01.html
https://www.ipa.go.jp/security/anshin/index.html

もし感染していた場合、アンインストールしても意味が無いですし、現在は自動更新できない状態なのでアンインストールは情報を収集してからにしてもらえると助かります。

この質問は投票によってベストアンサーに選ばれました!

ちょい足しを取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

このQ&Aで解決しましたか?質問する

閉じる

ベストアンサー以外の回答

1〜1件/1件中

アップロード写真

カテゴリマスター

tida_realさん

リクエストマッチ

編集あり2014/1/3117:46:23

>GrVersion.iniのDOWN_URL の項目が改ざんされており、
>ウィルスに感染しただろう事がわかりました。
→それは、Backdoor_Remoteウイルスに侵入されていますから、
ネット接続遮断・自己データ退避・リカバリ・コースが王道かと。
リカバリ後は再感染防止対策:
http://www.active.go.jp/knowledge/index.html
http://www.jpcert.or.jp/
ゴムじゃなくても、
MPUI;MPC;with ffdshow とかで十分なんですけどね。要再構築。

---------------------
補足より。
OSが不明ですが例えば、Windows 7_64bitだと、
%AppData%\GRETECH\GomPlayer\GrVersion.ini
をメモ帳で開いてみて補足の状態なら問題ありません。
かつ追加確認で同様に以下の.iniファイルを、
;64bit_OS:
%ProgramFiles(x86)%\GRETECH\GomPlayer\GrLauncher.ini
;32bit_OS:
%ProgramFiles%\GRETECH\GomPlayer\GrLauncher.ini
メモ帳で開いて、書式が、
VERSION_FILE_URL=http://app.gomlab.com/jpn/gom/GrVersionJP.ini
となっていれば問題ありません。

ちょい足しを取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

ID/ニックネームを選択し、「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問や知恵ノートは選択されたID/ニックネームのMy知恵袋で確認できます。

ほかのID/ニックネームで利用登録する