Zlkon, Gumblar 問題に関して
概要
このウィルスは以下のような性質をもっています
ホームページに不正に埋め込まれたJavaScriptやIFRAMEが不正に SWFやPDFを開かせる
アップデートを行っていないユーザの脆弱性で、Flash Player や Adobe Acrobat Readerがクラッシュ。
クラッシュ時にマルウェア(PE型:xxxxx.exe)を実行。
実行されたマルウェアは、内部にトロイを埋め込み、感染PCのインターネットアクセスを監視、特に FTPアクセスを監視して ID/Passwordを盗む。
盗んだID/Passを使って、ホストへ(おそらく自動巡回で)不正侵入、改ざんコードを埋め込む
アップデートを行っていないユーザの脆弱性で、Flash Player や Adobe Acrobat Readerがクラッシュ。
クラッシュ時にマルウェア(PE型:xxxxx.exe)を実行。
実行されたマルウェアは、内部にトロイを埋め込み、感染PCのインターネットアクセスを監視、特に FTPアクセスを監視して ID/Passwordを盗む。
盗んだID/Passを使って、ホストへ(おそらく自動巡回で)不正侵入、改ざんコードを埋め込む
------------
名称は?
一応便宜上
jQueryを使っていたものを Zlkon。今回の Eval()を使用 + ScriptEngineで詳細にバージョンチェックを行っているものを Gumblar と呼んでいます。
日本国内では 「GENOウィルス」と呼ばれることが多いようです。
参考:GENOウイルスまとめ
Zlkonのシグネチャは
Symantec:
JS.Downloader IFRAME部
Trojan.Pidief.D PDF
Trojan Horse Trojan本体
TrendMicro:
JS_AGENT.AOIP
JS_AGENT.AVR
具体的な内容検証は、何度も行ったので、ちょっと混乱気味ですが
Disinfect from zlkon virus
を参考にしてください。
zlkonはもう過去の話なので、詳しくは過去ログをご覧ください。
-------------
Gumblar?
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
いまのところ、キチンとしたレポートを上げてくれたのは
Sophos
Viral Video Now Just Viral
ScanSafe
Google SERPs Redirections Turn to Bots
のみです。
2009. Mar14
国内の正規サイト改ざん:攻撃サイトを変え再襲来
so-net のほうが、セキュベンダーより詳しいってのはどういうこと?(笑)
あと、こちらが非常に詳しいレポートを上げていますので参考にしてください。
gumblar.cn -- FFXI(仮)
-------------
予防
残念ながら 完璧な予防策はありません。
Adobe Flash Player のアップデート
Adobe Acrobat Reader のアップデート
NoScriptの導入(Firefoxの導入も含めて)
Adobe Acrobat Readerの JavaScript OFF
危険IPのブロック(Firewall登録/IPベースのブロッカーの導入)後述
------------
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
Windows XP:
改ざんされていなければ、下記のはずです。
C:\WINDOWS\system32\sqlsodbc.chm
50,727 bytes
MD5:F639AFDE02547603A3D3930EE4BF8C12
Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認
(C:\WINNT\system32\sqlsodbc.hlp は存在する)
C:\WINDOWS\system32\sqlsodbc.hlp
17,148 bytes
MD5:3177C8154F1011535FDD1B1B30D3D2E9
改ざんされている場合には
1000-2000バイトのサイズになっていることが多いようです。
(確証はありませんが、キーロガーのコンテナに使用されているようです)
MD5(ハッシュ)を使ったファイル検証は以下を参考にしてください
gumblar.cn感染をチェックする(MD5取得方法紹介)
HashChecker使用上の注意
※SQL Serverのバージョンによってはこのファイルが違う可能性があります
(もっとも MS-SQLServerやOracleを 2000/XPに入れているような「クロウト」さんが、こんなチャチなウィルスに感染することはありませんよね!?)
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
※05/15 しげさんより指摘を受けました。
会計ソフト等でバックエンドにMSDEやMSSQL Desktop Editionが
使われていることがありますんで、玄人ばかりではないんです。
ごめんなさい。使われていることがありますんで、玄人ばかりではないんです。
RegEditを使わないで目視で簡単に確認する方法が、sqlsodbc.chm の確認なのです(泣)
一応、身内には ProcessExplorer やら FileMon やらで監視するようにとは言ってありますが、普通の人はなかなか難しいかもしれません。
----------
sqlsodbc.chm が怪しい場合には、以下のレジストリをチェックしてください。
注意:レジストリ操作はWindowsの知識が無いとシステムに致命的なダメージを与える可能性があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
aux, aux1, aux2... aux9 もしくは midi, midi1 などの設定に見慣れないファイルが設定されていないかどうか?
普通は .dll もしくは .drv のはずです。
感染している例:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 : aux = kft.blc
----------
以上2点を満たす場合、残念ながらウィルスに感染している可能性が高いです。
まず、LANケーブルを引っこ抜いてください!
笑い事ではなく、物理的にインターネットから切り離してください。
このへんを見ながら回復を図ってもよいのですが、はっきりいって不毛です。(回復した後も、本当に安全かどうか疑心暗鬼になってしまうため)
バックアップを取った後、必要なhtml, php, js を "unescape" で grep し、悪意コードの痕跡を消し去り、OSをクリーンインストールしたほうが無難です。
一応 MalwareBytes でも削除できたという報告はありますが、私は確認していません。
PCのサニタイズが完了したら、あなたのPCに関係するすべてのパスワード変更を行ってください。
現在のPCの名称(Login名)とパスワードの変更
金銭的な損害の可能性のあるアカウントのパスワード変更(特に Yahoo, PayPal)
所有しているサイトのパスワードの変更(FTPパスワードも)
その他、ありとあらゆるパスワードの見直し
金銭的な損害の可能性のあるアカウントのパスワード変更(特に Yahoo, PayPal)
所有しているサイトのパスワードの変更(FTPパスワードも)
その他、ありとあらゆるパスワードの見直し
-----------
注意点:
zlkon および gumblarは、何故か sqlsodbc.chm を使用していますが、意図は不明です。
将来のバージョンでは、キーログ(あるいはもっと別な何か)のコンテナファイルが変更されることは十分に予想できます。
------------
Botnet?
ScanSafe
Google SERPs Redirections Turn to Bots
のレポート、および
gumblar.exe -- ThreatExpert
の実ファイル解析により、
GumblarはIRCもしくは何か別のものによる Botnet 命令待機を行っている可能性が高くなりました。
Botnetに関しては Botnet?を参照してください。
もし、これが事実だとすると、感染者は内部汚染ファイルを自動更新させられる危険性があります。
早急にPCのサニタイズを行ってください。
------------
IPベースブロッキング?
なぜ IP なのか?という話ですが
現在、中国のレジストラでのドメイン取得料が、日本円で20円くらいなのです。
従って .cn のドメインラッシュによる洪水攻撃が日常茶飯事になっています。
JUNIK.LV host malicious site instead of gumblar.cn
もっとも簡単に IP ベースのブロックを行えるのは
Peer Guardian 2
ですが、セキュソフトによってはマルウェア扱いしているようです。
IDSを導入しているとこは、素直に IPをブロックしてください。
PFWを導入している方も、そこに IPベースでブロックルールを追加できます。
ルータにもIPテーブルを登録できます。
危険な IP は
焼却炉
に、逐次追加しますので、自己判断でブロック・ブロック解除してください。
------------
最後になりますが、今回の件で警報メール送信を手伝ってくださいましたHさんに心から感謝いたします。
あなたがいなければ、このサイトごと辞めてたかもしれません。
そして、すべてのネットサーファーへ
Be safe!