|
で、8080タイプなGumblar(ガンブラー)改ざんの最近の動き。今週の始めは、いまいちアクセスさせてもらえない状態でしたが、今現在はアクセスできるところもある感じでしょうか? Gumblar.xと違って、日本のIPアドレスは弾いてくれてないですねぇ。 ちなみに、ロシアドメインは3月に簡単に取得できないよう対策をしたとのことで、一時的に減少した感じもありましたが、抜け道ができたのか対策効果が切れてしまってるようです。 http://malepad. ru:8080/Gibibyte. js ↓ http://malepad. ru:8080/index. php?S8gf0o2k7ad=1&pid=1&S8gf0o2k7ad=560 ↓ http://malepad. ru:8080/Notes1. pdf http://malepad. ru:8080/Applet1. html http://malepad. ru:8080/welcome. php?id=0&pid=1脆弱性攻撃が成功すると、ウイルスの強制発動と相成ります。(対策してあれば発動回避) ウイルスをComodoのオンライン解析に放り投げると、自分自身を「updpxe32.exe」というファイル名でスタートアップに登録してます。ファイル名でググると、記事を書いてる時点で4件程度なので、ここ数日中に攻撃者が用意したばかりの検体(Bredolabウイルス)のようです。 ・Comodo Instance Malware Analysis http://camas.comodo.com/cgi-bin/submit?file=6356b9296c6a50190fdac1c1cd836058d6afe0c222d1c3eabb68b5d82b1d5eb0VirusTotalに放り投げると、珍しく(?)トレンドマイクロだけ定義で検知(TROJ_BURNIX.SMEP)してます。27日に用意された日本語のウイルス情報ページも珍しく(?)すでにあります。ただ、スタートアップに登録されるファイル名は以前からの「siszpe32.exe」となってます。 ・VirusTotal http://www.virustotal.com/jp/analisis/6356b9296c6a50190fdac1c1cd836058d6afe0c222d1c3eabb68b5d82b1d5eb0-1280487810 |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
