hylomによる
2010年01月13日 16時53分の掲載
あなたが閲覧しているサイトも感染しているかもしれませんよ……?部門より
あなたが閲覧しているサイトも感染しているかもしれませんよ……?部門より
「Gumblar(ガンブラー)」というウイルス(およびその亜種)によるWebページの改ざんが広まっているが、Yahoo! JapanでもGumblar亜種によるHTMLの改ざんが確認された。問題となったのは、「Yahoo! 占い」のコンテンツ「鏡リュウジの星に願いを」(ヤフーの発表)。
改ざんされた期間は2009年10月27日の10:10から2010年1月8日の14:10までとのこと。この期間中に対象のWebページを閲覧していた場合、Gumblar亜種に感染した可能性があるという。
Gumblarやその亜種による改ざん被害は昨年末から多く報告されており、So-net セキュリティ通信によるとハウス食品、京王電鉄、民主党、ローソン、ディズニー、本田技研工業、JR東日本など、大手企業や有名団体での感染例も多い。
Gumblarは感染したPCからFTPアカウント情報を盗み取ってWebサイトの改ざんを行うため、被害が広まっているようだ。/.J読者の皆様も注意していただきたい。
なお、マイコミジャーナルやSo-net セキュリティ通信によると、Gumblar亜種は複数存在しており、実行されるコードや攻撃に利用するURL、ダウンロードされるマルウェアなどが異なり、また亜種によって防御策や対処方法が異なるため注意が必要、とのこと。
関連ストーリー
JR東日本サイトがまた改ざんされた模様 47 コメント
Gumblerのおかげで (スコア:5, すばらしい洞察)
「怪しいサイトのリンクはクリックしない」とかいう無意味極まりない馬鹿げた「対策」の指南が絶滅してくれたのが嬉しい。
コメントを書く
Re:Gumblerのおかげで (スコア:1, すばらしい洞察)
あとは、かたくなに「今まで○年使ってるけど怪しい体験をしたことがないからアンチウィルスソフトはいらない」という
生兵法極まりない馬鹿げた人の絶滅が残ってますね!
コメントを書く
親コメント
Re:Gumblarのおかげで (スコア:1, すばらしい洞察)
※サブジェクトがtypoってたので修正
どちらかというと「Windows UpdateとかAdobr ReaderやFlash Playerを最新にしてくださいとか面倒だし、ウイルス対策ソフト(ただし期限切れ)が入ってるからいいよね」という人を絶滅させてほしいです。
Security Essentialsでも期限切れの試用版よりは確実にマシですから何とかしてくださいほんとに。
コメントを書く
親コメント
Re:Gumblerのおかげで (スコア:1)
そりゃあ、家ではみんなと同じPCでみんなと同じサイトを見ていて、気がつけば印鑑や壺が家にごろごろしていて、
それなりにウイルス対策をしていたつもりだったのに自分が管理している会社の環境がGumblarにやられちゃって、
サービス残業で始末書を書きつつ泣きながら保守作業をしているからですよ。
コメントを書く
親コメント
Re:Gumblerのおかげで (スコア:1, 参考になる)
え?
「怪しいサイトのリンクはクリックしない」だけでOKなんて言ってる人いたの?
数ある対策の内の一つでしょ?
コメントを書く
親コメント
Re:Gumblerのおかげで (スコア:1)
>数ある対策の内の一つでしょ?
「怪しい」なんてハッキリしない基準ではどうにもこうにも。
一つとして数えることすらできないよって話では?
コメントを書く
親コメント
Re:Gumblerのおかげで (スコア:2, すばらしい洞察)
貴方はそう解釈したんですか?
A:「道路の真ん中は危険、道路の真ん中を歩くな!」
B:「当たり前じゃん、何言ってるの?」
A:「歩道歩いていたのに事故にあった! 道路の真ん中は歩いてないのに!」
B:「何言ってるの? 誰が『道路の真ん中以外は安全』何て言った?」
という話だと思うんですが
コメントを書く
親コメント
『ガンブラー』はウイルスの名前ではない (スコア:5, 参考になる)
『ガンブラー』はウイルスの名前ではない
ウイルスをダウンロードさせる「攻撃」のこと。
とシマンテックさんがおっしゃってるらしいです。
http://itpro.nikkeibp.co.jp/article/NEWS/20100113/343113/ [nikkeibp.co.jp]
詳しいことは分からないので他の方のコメントに期待したいのですが、
今、目の前に現れた二つの見出しが
・『ガンブラー』はウイルスの名前ではない
・Gumblarウイルスの被害広まる
の2つだったので気になりました。
コメントを書く
Re:『ガンブラー』はウイルスの名前ではない (スコア:3, すばらしい洞察)
itproの記事にあります通り、Gumblarウイルスってのは俗称だからです。
Gumblarがウィルスの名前ではありませんし、同様の動作をする亜種(それぞれ別の名前)がたくさんあります。
つまり、
シマンテック「お前ら、俺のところで gumblar とか調べても無駄だぞ! 見つからないからな!」
ってことじゃないでしょうか。
コメントを書く
親コメント
Re:『ガンブラー』はウイルスの名前ではない (スコア:1, 参考になる)
「いわゆるGumblar ウイルス」と呼べばOK?
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
http://www.jpcert.or.jp/at/2010/at100001.txt [jpcert.or.jp]
コメントを書く
親コメント
踏み台に注意(オフトピ-10) (スコア:1, おもしろおかしい)
ウイルスだとは知りませんでしたが、あれは一度かかると部屋中がガンプラだらけに
なるまで作り続ける恐ろしい病気として、当時より知られていました。
「踏み台にされる」ことを意味する「お、オレを踏み台にした?!」という流行語が
できたのも、その頃だと記憶しています。
コメントを書く
親コメント
Adobe Reader/Acrobatの対応更新プログラムが出ている (スコア:3, 参考になる)
Gumblar に対応したAdobe、Reader/Acrobatの更新プログラムがリリース [mycom.co.jp]されたようです。
プレスリリース:Adobe - Security Bulletin APSB10-02 Security Advisory for Adobe Reader and Acrobat [adobe.com](英語しか見つからなかった)
コメントを書く
Re:Adobe Reader/Acrobatの対応更新プログラムが出ている (スコア:3, 興味深い)
この更新プログラム,Mac上でAdobe Creative Suite CS/CS2を使っている人は,入れてはいけません。
IllustratorやInDesignが起動しなくなります。
http://blogs.adobe.com/iwamoto/2010/01/acrobat.html [adobe.com]
コメントを書く
親コメント
Re:Adobe Reader/Acrobatの対応更新プログラムが出ている (スコア:1)
Adobe ReaderはOSじゃないもの。
PDFリーダーなら他にもあるしいつでも乗り替えられるのも大きいかな。OSやRDBMSは
一度インストールして利用しはじめたら、途中で移行するのは大変だ。
コメントを書く
親コメント
確認方法は? (スコア:2, 興味深い)
Gumblar が蔓延してるよ、凄いよ、怖いんだよ、っていうニュースはよく見ますが、対策が分からないんですよね。
感染してるかどうかどうやったら分かるんでしょう?
コメントを書く
Re:確認方法は? (スコア:2, 参考になる)
(1) 導入済のセキュリティソフトで検査。
(2) 他社のオンラインスキャンで検査。
(3) (1)(2)で駆除できない怪しいファイルが見つかったらVirus Total [virustotal.com]で検査。
(4) (3)で検出した他社メーカーが無料版・体験版(駆除機能付)を提供していたら、それで駆除を試みる。
(5) (1)のメーカーが信用できなければ乗換を検討。
セキュリティソフトメーカーの真価が試されています。
匠気だけでは商機なく、正気なだけでは勝機なし。
コメントを書く
親コメント
サーバ側の確認方法は? (スコア:2)
当方は個人でVPS借りてWebサーバ立てているんですが、そこにGumblarが感染しているのかいないのか
確認する方法って……言及しているトコロがないんですよ。
個人のPCにGumblar入っているかどうか確認する手段についての情報はあるんですけどね。
/.Jのアニキの皆さま、ご存じありませんでしょうか?
ちなみに自分はclamavで/からウイルスチェックかけて、かつhtdocs以下を一旦ローカルPCにダウンロードして
PC側のウイルスチェッカーでスキャンしました。
一応驚異の検出は0件だったけどそれだけでOKなのだろうか?
ちなみにファイル転送にはずーっとWinSCPを使っています。
サーバのOSはlinuxです。
---- ばくさん!@一応IT土方
コメントを書く
親コメント
Re:サーバ側の確認方法は? (スコア:2)
> 驚異の検出は0件
大自然の驚異っつーか (^^)
みんつ
コメントを書く
親コメント
Re:サーバ側の確認方法は? (スコア:1)
Gumblarの亜種によって追加されるJavaScriptの記述が異なるため、容易な検出の方法がないということだと思います。
私が調べた限りですが、ウェブサーバ上に存在するバイナリ以外のファイルのリストを作成し、Gumblarが記述するJavaScriptにある、'function'、'eval'、'unescape'が1行に存在するファイルを検索して見つけ出しました。
具体的には、
$ find "ウェブコンテンツファイルへのパス" -type f -iname '*.html' -o -iname '*.htm' -o -iname '*.php' |xargs grep 'unescape' |grep 'eval'|grep 'replace'
といったようなコマンドを実行しました。この手法で私は顧客に提供しているサーバを調査したのですが、2つほど発見することが出来ています。
もちろん、この方法では、Gumblar以外のJavaScriptもかかりますので、検索結果で得たファイルを目視する作業が発生します。
#特に".js"を対象とすると、確認が大変です。Xoops関連のjsは多く誤検知します。
上記で発見したGumblarウィルスによって書き換えれらたファイルに関するFTPログをみた所、海外のIPアドレスでFTPログインし、[index.html]などのファイルをダウンロードし、すぐにアップロードし直すという挙動が見られました。
このため、[xferlog]から、同一のファイルに対して、ダウンロード、直後にアップロードしているパターンを見つけ、対応しております。
Gumblarウィルスによって書き換えれらたファイルを発見出来たとはいえ、この手法の有効度も不透明で、不安はあります。
自分で管理しているサーバ、内容を把握しているウェブサイトであれば、FTPログインをIPアドレスで制限するとか、そもそもFTPを空けないとかもっと簡単な方法があるかと思います。
他の皆様は、特に自分で好きなように出来ない顧客のサーバを運用されている方は、どう対処されているのか気になります。
コメントを書く
親コメント
Re:確認方法は? (スコア:1)
感染してるかどうかどうやったら分かるんでしょう?
亜種が多すぎて、感染しているかどうかの確認が難しい気がします。
msconfig 等で起動時に走っているプログラムを調べるのがいいのかな?
とは思っていますが、これも完璧じゃないですし。
コメントを書く
親コメント
Google Chromeだけ除外 (スコア:2, 興味深い)
> if(
> (u.indexOf("Chrome")<0)&&(u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)
というように、Google Chromeの場合だけ攻撃スクリプトを読みこまないように
されていました。
Vista/Win7を除外しているのは、UACが発動してバレルからだと思いますが、
Google Chromeを除外している理由がわかりません。
当初はChrome除外はしていなかったようですが、いつの亜種からか
Chromeを除外するようになったようです。
コメントを書く
対策 (スコア:1, 興味深い)
じゃ、FTPポート塞いで、sshのみにしているサーバなら大丈夫なの? 今時当たり前すぎる措置だけど、流行っているとこみると、これだけじゃダメなのかな?
コメントを書く
おいおい (スコア:1, 興味深い)
> Gumblarは感染したPCからFTPアカウント情報を盗み取って
この勘違いがここまで感染を広めた理由の一つじゃないの? 感染したPCと同じセグメント上でFTP使ったらアウトだよ。
コメントを書く
Re:おいおい (スコア:3, 興味深い)
ソース2chだけど、放置状態だったウェブサイトを改竄された話がありました。
FFFTPの設定(iniファイルかレジストリかは不明)からアカウントを窃取されたとか。
解析したわけじゃないけど、アカウント窃取の手段を複数持っていることは十分考えられます。
設定情報読み取り、キーロガー、パケット監視、いずれも等しく注意する必要があるでしょう。
SFTPでもパスワード認証ならWinSCP等クライアントの設定からアカウントを盗まれることがあり得ます。
コメントを書く
親コメント
Re:おいおい (スコア:1)
「認証情報を窃取してよそから不正侵入」という点自体もC&Cだったら変え放題ですよね。
例えばFTPクライアントのファイル読み取り動作をフックしてコンテンツ書き換えちゃうとか、感染PC内のボット自身がFTPサーバにアクセスするとか…
というか、大手企業のWebサーバでこんなに接続元制限していない所が多いなんて正直信じられない。
コメントを書く
親コメント
で、 (スコア:1, すばらしい洞察)
どんな悪さをするウイルスなの?(クライアント的に) [slashdot.jp]って情報が相変わらず希薄なのはなにかの罠ですか?
・有名サイトがXX月YY日からWW月ZZ日まで改竄されていました
・ふーん、じゃあ、その間の情報はアテにならないのね
で、終わっちゃいがちな気がするのですが。
「こういう被害があって、お前たちにもこんな不利益があり得るからとりあえずアレコレしておけ」
って情報がほしいんですが。
コメントを書く
Re:で、 (スコア:1)
改ざんされたページを閲覧するとウィルスがPCにダウンロードされ、そのPCの中のFTPの情報を使って、そのPCを使って管理しているWebサイトのページを改ざんするということで、サーバーとクライアントに交互に感染していくウィルスみたいですが正しいでしょうか?
すると、制作会社とか、PCを使ってWebコンテンツを開発しているところが、Webサイトごとやられる、というのは理解できますが、ホームページもblogとか、google siteなどで作っている一般のユーザーでは、ウィルスをダウンロードしても、それ以上は影響がないように思いますがどうでしょう。最近、AppleのiWeb+mobileMeでWebサイトを作りましたが、これもアップロードにFTPを使っていないとすると、この手の攻撃にもちょっとだけ丈夫かも知れないと思いました。一方、使っている技術が、ftp、JavaとかAdobe Readerみたいな、どの機種にもある物と言われると、本当にwindowsしか感染しないのか心配になりますが。
コメントを書く
親コメント
Re:で、 (スコア:1)
仕事でJavaを使ってるんですが、未だに1.4で動いてるシステムの保守のため、開発環境に古いJavaを入れざるを得ない状況です。
こういう人、/.Jには多いと思うんですが皆さんどうされてますか?
VirtualPC 上にその古いJava環境を構築して、そっちで保守。かな。
多少面倒ではありますが、保守でしたら十分かと。
コメントを書く
親コメント
Re:で、 (スコア:1)
しかし、問題は他にもたくさんあり、sftpサービスを積極的に提供しない
サーバー屋やISP、セキュアな通信手段を強く求めようとしない愚かなユーザー、
sftp(もしくはscp)を使うよう声高に薦めないセキュリティ専門家、
それぞれに問題があり、全てがからんで身動きが取れなくなっている。
だから、奇特などこかの誰かが修正BSDライセンスで公開されているFFFTPのソースコードを
いじって、sftpとscpの機能をつけて例えばFFFFTPと名前をつけて公開しても、
一部の人は乗り換えるかもしれないけど、状況はほとんど変わらない。
(※いやFFFFTPは紛らわしいからまずいって)
状況を変えようと思ったら、たとえばOP25Bのように、サーバー屋やISPに影響力のある
公的団体が音頭を取って、ftpを廃止しsftp/scpに移行するように、あるいはftpを
廃止しないまでも限定的に提供する状態にもっていく段取りをつけて、何年かかけて
やらないといけないだろうね。ソフト1つ槍玉にあげて攻撃するだけじゃどうにもならない。
コメントを書く
親コメント
Re:ところで (スコア:1)
あなたが閲覧している/.-jも感染しているかもしれませんよ……?部門
-- 桜の花が散る頃に 貴方にまた巡り会うことを願わん
コメントを書く
親コメント