UnderForge of Lack

スタンス的に 「Gumblar？ へー？なんか怖いよね？」という立場の当サイトですが、
なんか怖そうなウィルスの話がありましたので一応翻訳してみました。

Gumblar Q&A

何が起きてるんだい？
複数の段階を経て感染するマルウェアが Google のサイト検索結果(SERP)を改ざんするようです。陥落しているサイトの悪意を持って改ざんされた検索結果をもとに、そのサイトを訪問してしまう危険性があります。
また、その危険コードは（もし存在すれば）犠牲者のコンピュータからアクセス権（credentials)を盗み取ります。盗まれたFTP情報は、犠牲者の所持しているサイトの改ざんに使用されます。感染してしまった犠牲者はさらに自分のサイトから感染コードを発信し、さらに犠牲者を増やします。こうして、幾何級数的に被害が拡大していったものと思われます。

これは XSS(cross-site scripting)攻撃なの？
違います。陥落したサイトは FTP情報を盗み取られており、Web Serverのファイルを手動で直接改ざんされています。
※注釈：複数の攻撃コードがインジェクトされた例が多数みられますので、自動攻撃だとは思います。

ScanSafeは、いつ最初にこの事態に気がついたの？
この攻撃には２つの段階がありました。最初は 94.247.2.195 からの攻撃コード埋め込みで、3月23日頃に検出しています。シグネーチャベースによる検知は 3/27からです。Googleは 4/13にリダイレクションの危険情報を出しています。
詳細：Malware Manipulating Google SERPs

その後どうなったの？
Googleが感染しているサイトをリストから除外し始め、サイトのオーナーは 94.247.2.195 からの悪意コードを除去し始めました。防衛の手段としてはマニュアル通りの対応ですが、５月の初めに攻撃者は 94.247.2.195 の代用として gumblar.cn に差し替え、当初の悪意ブラックリストの回避を試みました。結果的にブラックリストによる防備は破られ、感染したサイトが検索結果の上位に上がることになってしまいました。

Gumblarによって感染したWebSiteを通してMalwareをばら撒いた意図は？
感染したサイトのMalware-Code は、不正な PDFや SWF(Flash)ファイルを起動し、感染したユーザの(google)サーチ結果を改ざんすることを目的としています。この特定の攻撃は Internet Explorerのユーザの Google 検索結果を狙ったものです。更に、gumblar.cnの悪意コードは 78.109.29.112 に接続するバックドアをインストールします。このアドレスは、歴史的に有名な Botnet の C&C(コマンド＆コントロール）のリダイレクションに向けられていました。
詳細：Google SERPs Redirections Turn to Bots

この悪意的なリダイレクトはどんな働きをするの？
中間窃取攻撃(man-in-the-middle attack)と似ています。この攻撃は、「ブラウザーの中間窃取(a man-in-the-browser attack)」とでも呼ぶ状況の結果、リダイレクションが発生します。悪意コードはブラウザプロセスの内側に介入し、そのプロセスのリクエストを監視、改ざんされたトラフィックを注入します。Googleの検索結果(SERP)のリダイレクションの場合、本来Googleが返してきた検索結果(SERP)を悪意を持ったリンクに改ざんして表示します。

Googleの問題点は終わったの？
いえ、指摘しているようにこれはブラウザベースの中間窃取攻撃です。感染しているＰＣはこの検索結果の改ざんが延々と起こり続けます。

過去、数え切れないほどのウェブサイトが感染してきたわけですが、今回のものとどう違うの？
通常の感染サイトは、だいたい一週間ほどくらいのウィルスのピークがすぎれば、シグネチャベースによるセキュベンダーの対応や、ユーザが気がついたりして、当該ウェブサイトのオーナーが悪意コードを除去します。（これは、攻撃者がつぎつぎと新種を生み出している理由でもあります。）

ところが、gumblar.cnの攻撃では逆効果がおきてしまっています。感染したウェブサイトのオペレータが、汚染データを削除したり、.htm .php .asp といったサイト内ファイルをオリジナルのものに戻したとしましょう。gumblar.cnは再度、同様のコードを注入してきます。この注入コードは他の感染サイトはもちろん、同じサイトによってもランダムで変更され、検出が難しくなっています。更にシグネーチャベースの検出回避のためにより難読化されています。この結果、gumblar.cn に感染させられたサイトは（当社で確認しただけで） 昨日から 61%の増加、先週比で 188%増加という事態になってしまっているのです。

わーなんてこわいんでしょう（棒）
みなさんきをつけましょうね（棒）

Microsoft fixed Power Point Vulnerability

こないだのパッチで塞ぎきれなかった パワーポイントの脆弱性 CVE-2009-0556の修正が入ったようです。


New 0-day Exploits Using PowerPoint Files

攻撃コードが世に出ているにも関わらず、あんまり問題にならなかったのは PPT だから・・なのでしょうね。

まぁ、MacOS用が後回しにされたことで、セキュソフトを売るチャンスでもありますね

CVE-2009-0556 Vulnerability Patched

愚痴、見なくていいです



そもそも、この gumblarは zlkon の頃からずっと取り上げてきたので、gumblarの爆発的な感染を察知したときに、「無視する」というオプションをとることができませんでした。

通常のウィルスは、単純にＰＣを起動不能にしたり、データを消したりという、いわば自己損害で完結するものが殆どです。
しかし、コレは違います。

仮に自分が感染していたとしたら、穴を掘って埋まってしまいたいぐらい他人に申し訳ないと思うくらい悲惨なウィルスです。
自分のサイトにアクセスしに来てくださった人の ID/Passを盗み、あまつさえ画面キャプチャの送信機能やら Botnet汚染やらが指摘されている最悪のバックドアなのです。

そんなウィルスに感染しているサイトを見逃して笑っていることもできず、友人と協力して Mailを送り、何とか感染サイトを止めて欲しかった。

しかし、そんな努力がかえって一部の方の反感を買っってしまったことが非常に残念です。


残念ですが、今後はもう、感染サイトを見ても「ミテミヌフリ」をすることになるでしょう。

「自分たちだけが感染しなけりゃいいよね」という、情けない姿勢に切り替えざるを得ないことを恥ずかしく思いますが、所詮は個人サイトですから、責任をとることも出来ませんので・・・・

あと、ブロック範囲が広すぎるという指摘も受けましたが、そんなもんは自己判断してください。
というか、ブロックの意図がわからないなら、別にブロックしなくていいんですよ？

私が「ブロックするように！」と命令しているわけでは有りません。



よし、愚痴完了！

通常モードに移行します。

まず、ごめんなさい。

あまりにも急激にサイトアクセスが増えたため、サイト内のポストのうち19を非公開に、その他も記事削除した部分がかなりあります。

理由はお察しのとおり。

ですが、一言だけ・・・・・

感染したのは不可抗力かもしれませんが、その後放置したり、無告知で再開したりするのはあまりお奨めできません。

もう、多くは語りませんケドね


今後はちょっとトーンダウンすることになるでしょう。

Sophos said WIN THE GAME!

パンツなSophosが気勢を挙げています。（笑）

…And We Have A Winner!

笑

まぁ・・確かに米国とかインドとかのサイトに警告するとき
Viral Video Now Just Viral
しか貼れる参照対象が無かったのは事実ですけどね～

御三家は何やってるんだか・・

しかし、Sophosさん、コレ、とっても恥ずかしいタイトルでしたよ！
※「バイラルビデオ」あたりで検索してください

ちなみに、米・インド・パキスタン・オランダ・英国のサイト１２箇所ほどに警報メール送りましたが、お返事が返ってきたのはアダルトなサイト１こだけ（苦笑）
しかもその日から、バイアグラ！なメールが多数舞い込むようになりましたトサ・・・

----------------------
ScanSafe がいっぱい情報をだしてます。

出社せねば遅刻する～

暇みて翻訳するかも

本来はこのページは身内向けの備忘録だったような気もしないでもないですが・・・・

まぁ、今日も逝ってみましょう～
IRC不調なので こっちで告知します。

あと、マウスがオカシクナッテ、200回/secクリックするようになったのでポイ（泣）
現在、DECの３ボタンマウス使用中


-----------------
【新】
JUNIK Riga Network Latvia

JUNIKの別レンジが発覚・・・焼却推奨（プライオリティ：高）
195.216.160.0/19 (195.216.160.0 - 195.216.191.255)


195.216.175.117
www.loshaqe.com
www.mirain.cn
Trojan & Exploits

一応、Malicious Logには 195.216.175.114 - 195.216.175.117 しか反応しません。
温情派用； 195.216.175.0 - 195.216.175.255 (いつもの/24) いや・・温情不要だとは思いますがネ・・

-----------------
【新】
NTColo Networks Ukraine

見逃してました、Fake AV/Trojan で結構報告があります（最近は潜伏してた模様）
194.165.4.0/23 (194.165.4.0 - 194.165.5.255)

５月のレポート：

焼きですね


----------------
Bastion Trade Group Ukraine

stats-analytics.cn
system-check.net
win-biz.com
statsc0unter.com

いつもどおりの Luckysploit　たぶんこの５倍くらいドメイン洪水攻撃されてます（笑）
94.232.248.51 は焼却済みのはず

----------------
JUNIK Riga Network Latvia

luks5.cn : 213.182.197.229
yesey.net : 213.182.197.245
キミも元気だね・・・


----------------
gaztranzitstroyinfo-net RU

91.212.x.x の偽AVとトロイが再度、活発化

少し注意が必要です。

----------------
Strato Rechenzentrum, Berlin Germany

85.214系も暴れてます

全部 h1192104.stratoserver.net に吸い込まれるので、ドイツの当該ISPは当分ブラックリスト逝き

----------------
gaztranzitstroyinfo-net RU

91.212.65 にもちらほら・・

ここは偽アンチウィルスとウィルスを同時に（同じＩＰで）ばら撒くという離れ業をやってのけています

ステキ～

-----------------
209.44.126.0/24 CA

ここも偽AV・・・

-----------------
とりあえずこんなもので

Regarding malwares : writ 14 Mar 2009 for HWS
----------
急激にアクセスが増えてますので、過去ログを読んでない方もいらっしゃるかもしれません
そもそも、ウチのBlogは過去ログを読むことを想定していませんので、時系列がグチャグチャになってる気もします
ごめんなさい m(_ _)m


----------
またどっかで見たようなインジェクションが・・
www.bronotak.cn
78.109.25.217

ここは、GumblarのBotnet C&Cと疑われている IP
Datacenter Hosting.UA UA
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
に含まれる範囲の中です

現在一番危険なIP群ですので、以下も含めて全焼却しましょう。

94.229.64.0/20 (94.229.64.0 - 94.229.79.255)
gumblar - 2009.05.02
UK Dedicated Servers Limited
- (gumblar -- Russian )

213.182.192.0 - 213.182.223.255
gumblar relative 2009.05.07
JUNIK Riga Network Latvia


----------
【新】ここ数日、206.44.126.xxx の攻撃が激化しています。

206.44.126.22
206.44.126.102
206.44.126.241

このホスティング会社
American Standard, Inc. USA WI
ってのが、実態不明でよくわかりません（トイレ・バス・キッチンの会社とは別です）

全焼却しちゃうと
206.44.0.0 - 206.44.255.255 CIDR:(206.44.0.0/16 )
かなり広い・・・

もっとも、昔から ZeuS(Zbot)の巣窟になってるので、企業の人は焼いちゃってもイイカモ

というか、このレジストラ登録の text2re.com で検索するとですね・・

94.247.3.3 : hs.3-3.zlkon.lv
マタオマエカ・・・

94.247.2.0 - 94.247.3.255
zlkon.lv -- 2009.04.05
ZLKON Latvia

おそらく根っこが一緒のヤツ：
91.211.64.0/23
91.212.41.0/24
91.212.65.0/24
すでに焼却済みのはずです。

----------
JUNIK も元気いっぱいです

213.182.197.20 adultelitiest.ru
213.182.197.229 yes04ka.cn
213.182.197.238 boscumix.com

再掲ですが Gumblarもここに含まれるので２度繰り返しましょう

213.182.192.0 - 213.182.223.255
gumblar relative 2009.05.07
JUNIK Riga Network Latvia

----------
【新】85.17系もかなり危なそうです。
特に leaseweb というオランダのホスティング会社は昔から危険物扱いされていたようです（笑）

５月に入ってだけでも・・

85.17.52.4 crackfind.org

85.17.93.190 nolagtime.com

85.17.138.60 sameshitasiteverwas.com

85.17.136.137 lsiu.info(hosted-by.leaseweb.com)

85.17.162.100 f-o-r.ms (hosted-by.leaseweb.com)

85.17.177.223 porntube4u.com

85.17.189.183 antivirus.vc(hosted-by.leaseweb.com)

85.17.201.143 tm34.info (hosted-by.leaseweb.com)
85.17.201.143 hd.sbells.info (hosted-by.leaseweb.com)
85.17.201.143 axmell.info (hosted-by.leaseweb.com)

なんかもう、「全部焼いてしまえ！」って気になるでしょう？（笑）


LEASEWEB (OCOM-MNT) Netherlands
85.17.0.0 - 85.17.255.255 (CIDR:85.17.0.0/16)

Surely, jpeg virus exist?

jpegウイルスがある！？とか言われたので調査開始

facebook-gallery.net

is.jpg : 16/41 (39.02%)
108544 Bytes
MD5:0b9eb8391474d131510457354f69a2de
SHA-1:b7e98652fbb61a7c990eacfcc39056965684acfb

Microsoft: Worm:Win32/Vundo.A

をいをい・・ウザイ偽AVで有名なVundoじゃないかー（苦笑）

ていうか、ぜんぜんjpegじゃないし・・・と思ったら
Analysis report for hXXp://facebook-gallery。net￥is.jpg
Requests: application/x-msdos-program
なるほどね・・（苦笑）

こーいうのに引っかかる人ってどんな環境なんだろう（笑）
たぶん、自分で MIME 登録しないと無効だと思うんですけど・・違うのかな？

------------
ところで・・
ホスティングを逆引きして懐かしいものが

216.39.62.191
AltaVista Company USA

http://www.altavista.com/
もう知ってる人も少ないでしょうが、昔はココしかマトモな検索エンジンが無かった時代がありました（笑）
今は広告型の検索サーチ Overture の傘下にあります。

でも容赦なく焼くのが my justice（鬼！）
216.39.48.0 - 216.39.63.255
CIDR: 216.39.48.0/20
温情派（笑）の人は
216.39.62.0 - 216.39.62.255

Vundoのトロイ接続先：
85.12.43.103:53
XENTRONIX Netherlands
85.12.43.0 - 85.12.43.255

Fake Flash Player should become Trojan Horse

これだけ FlashやらAcrobatの危険性が叫ばれると、
「とりあえず Flash/Acrobatのアップデートをしなきゃ」とあせる人もあらわれるわけで・・

install_flash_player.exe : 5/40 (12.50%)
1984026 bytes
MD5:5e06ea9b4aecffd96fc9e71cbc52302b
SHA-1:9625050792f7993d8ea5505b57ce5fa7a80b2e85

addobeflashplayer.net
85.14.6.159

n2s028.hostsyst.com
Colocation Clients Bulgaria

前科は無いようですので単独IPで焼いてもよさそうですがネンノタメ・・・
85.14.6.0 - 85.14.6.255
(CIDR); 85.14.6.0/24


ちなみに、既出の物とは変えてきているようです。
adobeus.com

Google letting shorten his tall about 18 inches

ストリートビューやら、著作権問題やらで最近守勢にまわってる Googleですが

ストリートビューをご利用のみなさまへ

うはは（笑）
何が笑ったって、最後の項目です。これを全部ボカシをいれることは、ゼンリンを批判することになるので、苦肉の策としてこんな表現をつかったんでしょうね。

個人的な感想ですが

「個人情報」の行き過ぎた拡大解釈はそろそろヤメにしましょうよ～