Kaspersky Internet Security 2009 ウェブアンチウィルス大丈夫か？

今日、ページ更新されたサロンサイトを巡回していると、KISが突然警告を出した。

並行してAdobe Acrobatが勝手に起動したが、ドキュメントは何も表示されない。
とりあえず、問題の閲覧ページは閉じたのだが、その後、別のサイトを閲覧していると、閲覧に使っていたOperaブラウザがアプリケーションエラーで異常終了した。

ここで、この警告メッセージについて調べてみることにした。
警告メッセージには、「ウィイルス HEUR:Exploit.Script.Genericが含まれています」、とある。「Exploit」は「セキュリティホールなどを利用して不正な結果を得たり、そのために使用するコード」ということのようだが、Windows XPは4月にUpdateしたし、Operaも最新の9.64。

再度Operaを起動して、今度はJavaScriptを無効にして問題のページを閲覧すると、KISが警告を出すことなく、Acrobatが起動されることもなかった。ページのソースを見ると、おかしなスクリプトの記述がある。

「#」の後に続くのは、ASCIIコードのようだ。後半には「gumblar」の文字がある。おそらく、読みにくくする（見つかりにくくする）ように、スクリプトの一部をコード化したのだろう。KISの警告メッセージにも「http://gumblar.cn/rss/」とあったので、「gumblar.cn」でネット検索してみた。すると、次のサイトが見つかった。

  http://ilion.blog.shinobi.jp/Entry/85/

「@」と「#」の違いがありスクリプトの記述も違うが、「http://gumblar.cn/rss/?id=2」でAcrobatが起動される点など、挙動は似ている。ただ、IEではなく、Operaで異常が出たのだが。

「gumblar.cn」が結構有名なサイトだとわかったところで、ウェブアンチウィルスのイベントを見てみた。

上記のように「遮断した」と記録されているが、Acrobatが起動され、Operaが異常終了している。本当にウィルスを遮断できたのか？
尚、問題のサイトにはメールアドレスがあったので報告して、ジャストシステムのサポートにもメールしておいた。

さて、この件への対応については、Kaspersky Internet Security 2009 特定のサイトとの通信を遮断する方法やKaspersky Internet Security 2009 通信を遮断するアドレスを範囲指定する方法をご覧いただきたい。

［追 記］
コマンドプロンプトの怪～原因は…ウィルス感染!?にあるように、この記事を書いた時点で既にウィルス感染していたと考えられ、結局、Kaspersky Internet Securityはウィルス感染を防げなかったことになる。役立たずの上にKIS自身によるトラブルが多発し（Kasperskyトラブル記事）、しかもジャストシステムのサポートも全く役に立たなかった（Kasperskyサポート問題）。