|
自分は↓のように考えてるんですが、 Gumblar ≒ Gumblar.x ≠ 8080 (※ 真実は攻撃者のみぞ知る・・・)ここ最近の改ざん騒動すべてが「ガンブラーウイルス」という形でニュースになり、その影響もあってか誤った情報や不完全な対策も見かけるようになったので、書いた記事がコレ。 ”ノートン警察”つながりなシマンテックが物申したようです。 ・企業サイトを次々と改竄しているのはガンブラーではない? (マイコミジャーナル) ・「『ガンブラー』はウイルスの名前ではない」― シマンテックが解説 (日経パソコン) ・シマンテック、「Gumblar」攻撃の新しいスクリプトを注意喚起 (INTERNET Watch) ★ Gumblar (ガンブラー)2009年5月に猛威を振るう。BODYタグの直前に不正なJavaScriptコードが挿入される。 コードは難読化されていて解除すると、名前の由来にもなってる「gumblar.cn」(後に「martuz.cn」)という攻撃者が用意したドメインにアクセスさせる処理が出現。日本では通称名「GENOウイルス」。 ★ Gumblar.x2009年10月〜12月に猛威を振るう。BODYタグの直前に不正なJavaScriptコードが挿入される。 コードはまったく難読化されておらず、アクセスさせるページは管理者のパソコンからFTPアカウント情報(パスワード)が漏れ攻撃者の物置として悪用されてる正規サイト。名前の由来はカスペルスキーの検出名。(この改ざんを経由してパソコンに感染するDaonolウイルス駆除ツール) ★ 80802009年12月〜に猛威を振るう。ページの最下部(と最上部の場合も)に不正なJavaScriptコードが挿入される。 コードは難読化されていて解除すると、名前の由来にもなってる「*****.ru:8080」という攻撃者が用意したドメインにアクセスさせる処理が出現。12月以前から活動そのものは確認されていて、現在は不正なコードの先頭に特徴的な文字列『/*GNU GPL*/』(→『/*LGPL*/』→『/*Exception*/』→コメントなし)か、『/*CODE1*/』が存在する。 上の改ざんページのスクリーンショットはこの記事を書いてる時点のもの。改ざんの種類は置いといて、この手の脅威でウイルスの発動を回避させたかったら、ウイルス対策ソフトはやってくれない6つの対策を必ず。 ● 関連
・相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」 ・相次ぐサイト改ざん(2) 新たな改ざん告知サイト12〜ヤフー、ブックオフ子会社等 (So-net セキュリティ通信) ・改ざん被害でウイルス攻撃サイトから復旧する方法 |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
これは攻撃目的第三者が盗み出したFTPアカウントを利用し、
手動でWebコンテンツにscriptタグを埋め込んでいるんですかね。
それともウィルス自体がスタンドアロンでFTP接続等して埋め込み?
[ 通りすがり ]
2010/1/13(水) 午前 11:08
・・・難読化されていて解除すると、名前の・・・
とありますが、解除とは削除のことでしょうか?
[ テフテフ ]
2010/1/14(木) 午前 8:23
>通りすがり さん
ウイルス自体は収集のみで、攻撃者の手元(か乗っ取られたPC)で改ざんプログラムが動いてるんじゃないですかね?
>テフテフ さん
挿入されるコードはパッと見で何て書いてあるか分からないようにしてあるので、それを読めるようにすることです。
http://img62.yfrog.com/i/17880084.png/
[ noooo_spam ]
2010/1/14(木) 午後 10:10