hylomによる
2010年01月13日 16時53分の掲載
あなたが閲覧しているサイトも感染しているかもしれませんよ……?部門より。
あなたが閲覧しているサイトも感染しているかもしれませんよ……?部門より。
「Gumblar(ガンブラー)」というウイルス(およびその亜種)によるWebページの改ざんが広まっているが、Yahoo! JapanでもGumblar亜種によるHTMLの改ざんが確認された。問題となったのは、「Yahoo! 占い」のコンテンツ「鏡リュウジの星に願いを」(ヤフーの発表)。
改ざんされた期間は2009年10月27日の10:10から2010年1月8日の14:10までとのこと。この期間中に対象のWebページを閲覧していた場合、Gumblar亜種に感染した可能性があるという。
Gumblarやその亜種による改ざん被害は昨年末から多く報告されており、So-net セキュリティ通信によるとハウス食品、京王電鉄、民主党、ローソン、ディズニー、本田技研工業、JR東日本など、大手企業や有名団体での感染例も多い。
Gumblarは感染したPCからFTPアカウント情報を盗み取ってWebサイトの改ざんを行うため、被害が広まっているようだ。/.J読者の皆様も注意していただきたい。
なお、マイコミジャーナルやSo-net セキュリティ通信によると、Gumblar亜種は複数存在しており、実行されるコードや攻撃に利用するURL、ダウンロードされるマルウェアなどが異なり、また亜種によって防御策や対処方法が異なるため注意が必要、とのこと。
|
|
関連ストーリー
|
|
Gumblerのおかげで (スコア:5, すばらしい洞察)
「怪しいサイトのリンクはクリックしない」とかいう無意味極まりない馬鹿げた「対策」の指南が絶滅してくれたのが嬉しい。
コメントを書く
Re:Gumblerのおかげで (スコア:2, すばらしい洞察)
貴方はそう解釈したんですか?
A:「道路の真ん中は危険、道路の真ん中を歩くな!」
B:「当たり前じゃん、何言ってるの?」
A:「歩道歩いていたのに事故にあった! 道路の真ん中は歩いてないのに!」
B:「何言ってるの? 誰が『道路の真ん中以外は安全』何て言った?」
という話だと思うんですが
コメントを書く
親コメント
『ガンブラー』はウイルスの名前ではない (スコア:5, 参考になる)
『ガンブラー』はウイルスの名前ではない
ウイルスをダウンロードさせる「攻撃」のこと。
とシマンテックさんがおっしゃってるらしいです。
http://itpro.nikkeibp.co.jp/article/NEWS/20100113/343113/ [nikkeibp.co.jp]
詳しいことは分からないので他の方のコメントに期待したいのですが、
今、目の前に現れた二つの見出しが
・『ガンブラー』はウイルスの名前ではない
・Gumblarウイルスの被害広まる
の2つだったので気になりました。
コメントを書く
Re:『ガンブラー』はウイルスの名前ではない (スコア:3, すばらしい洞察)
itproの記事にあります通り、Gumblarウイルスってのは俗称だからです。
Gumblarがウィルスの名前ではありませんし、同様の動作をする亜種(それぞれ別の名前)がたくさんあります。
つまり、
シマンテック「お前ら、俺のところで gumblar とか調べても無駄だぞ! 見つからないからな!」
ってことじゃないでしょうか。
コメントを書く
親コメント
Adobe Reader/Acrobatの対応更新プログラムが出ている (スコア:3, 参考になる)
Gumblar に対応したAdobe、Reader/Acrobatの更新プログラムがリリース [mycom.co.jp]されたようです。
プレスリリース:Adobe - Security Bulletin APSB10-02 Security Advisory for Adobe Reader and Acrobat [adobe.com](英語しか見つからなかった)
コメントを書く
Google Chromeだけ除外 (スコア:2, 興味深い)
> if(
> (u.indexOf("Chrome")<0)&&(u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)
というように、Google Chromeの場合だけ攻撃スクリプトを読みこまないように
されていました。
Vista/Win7を除外しているのは、UACが発動してバレルからだと思いますが、
Google Chromeを除外している理由がわかりません。
当初はChrome除外はしていなかったようですが、いつの亜種からか
Chromeを除外するようになったようです。
コメントを書く
対策 (スコア:1, 興味深い)
じゃ、FTPポート塞いで、sshのみにしているサーバなら大丈夫なの? 今時当たり前すぎる措置だけど、流行っているとこみると、これだけじゃダメなのかな?
コメントを書く
おいおい (スコア:1, 興味深い)
> Gumblarは感染したPCからFTPアカウント情報を盗み取って
この勘違いがここまで感染を広めた理由の一つじゃないの? 感染したPCと同じセグメント上でFTP使ったらアウトだよ。
コメントを書く
Re:おいおい (スコア:3, 興味深い)
ソース2chだけど、放置状態だったウェブサイトを改竄された話がありました。
FFFTPの設定(iniファイルかレジストリかは不明)からアカウントを窃取されたとか。
解析したわけじゃないけど、アカウント窃取の手段を複数持っていることは十分考えられます。
設定情報読み取り、キーロガー、パケット監視、いずれも等しく注意する必要があるでしょう。
SFTPでもパスワード認証ならWinSCP等クライアントの設定からアカウントを盗まれることがあり得ます。
コメントを書く
親コメント
で、 (スコア:1, すばらしい洞察)
どんな悪さをするウイルスなの?(クライアント的に) [slashdot.jp]って情報が相変わらず希薄なのはなにかの罠ですか?
・有名サイトがXX月YY日からWW月ZZ日まで改竄されていました
・ふーん、じゃあ、その間の情報はアテにならないのね
で、終わっちゃいがちな気がするのですが。
「こういう被害があって、お前たちにもこんな不利益があり得るからとりあえずアレコレしておけ」
って情報がほしいんですが。
コメントを書く
確認方法は? (スコア:1, すばらしい洞察)
Gumblar が蔓延してるよ、凄いよ、怖いんだよ、っていうニュースはよく見ますが、対策が分からないんですよね。
感染してるかどうかどうやったら分かるんでしょう?
コメントを書く
Re:確認方法は? (スコア:2, 参考になる)
(1) 導入済のセキュリティソフトで検査。
(2) 他社のオンラインスキャンで検査。
(3) (1)(2)で駆除できない怪しいファイルが見つかったらVirus Total [virustotal.com]で検査。
(4) (3)で検出した他社メーカーが無料版・体験版(駆除機能付)を提供していたら、それで駆除を試みる。
(5) (1)のメーカーが信用できなければ乗換を検討。
セキュリティソフトメーカーの真価が試されています。
匠気だけでは商機なく、正気なだけでは勝機なし。
コメントを書く
親コメント
サーバ側の確認方法は? (スコア:2)
当方は個人でVPS借りてWebサーバ立てているんですが、そこにGumblarが感染しているのかいないのか
確認する方法って……言及しているトコロがないんですよ。
個人のPCにGumblar入っているかどうか確認する手段についての情報はあるんですけどね。
/.Jのアニキの皆さま、ご存じありませんでしょうか?
ちなみに自分はclamavで/からウイルスチェックかけて、かつhtdocs以下を一旦ローカルPCにダウンロードして
PC側のウイルスチェッカーでスキャンしました。
一応驚異の検出は0件だったけどそれだけでOKなのだろうか?
ちなみにファイル転送にはずーっとWinSCPを使っています。
サーバのOSはlinuxです。
---- ばくさん!@一応IT土方
コメントを書く
親コメント
Re:サーバ側の確認方法は? (スコア:2)
> 驚異の検出は0件
大自然の驚異っつーか (^^)
みんつ
コメントを書く
親コメント
Re:ところで (スコア:1)
あなたが閲覧している/.-jも感染しているかもしれませんよ……?部門
-- 桜の花が散る頃に 貴方にまた巡り会うことを願わん
コメントを書く
親コメント