猛威を振るう「Gumblar」(GENOウイルス)

猛威を振るう「Gumblar」(GENOウイルス)
 年末から年始にかけて、ウイルス「Gumblar」によるサイト改ざんの被害報告が相次いでいる。

 2009年12月以降、Webページが改ざんされたことを発表している主な企業は、ラジオ関西、ホンダ、JR東日本、信越放送、ローソン、ハウス食品、モロゾフ、京王グループなど。
いずれも、Gumblarの亜種によるものと思われるWebページの改ざんがあり、ウイルス感染を広げるためのスクリプトが埋め込まれたとしている。

 Gumblarは、主にWebを媒介として感染を広げている。まず、 Webページに埋め込まれたスクリプトが、 Webブラウザやプラグインの脆弱性を悪用して、PCにウイルスをインストールする。ウイルスはPCの通信を監視し、FTPによる通信が行われるとIDと パスワードを抜き出し、その情報を特定のサイトに送信する。悪用者はこの情報を利用してFTPサーバーにアクセスし、HTMLファイルを書き換え、Web ページにスクリプトを埋め込む。

 Webサイトを管理していて、FTPを利用しているユーザーはそれほど 多くはないと思われるが、多数の感染者の中には一定の割合でそうしたユーザーが存在することが想定される。その結果、新たにスクリプトを埋め込まれるサイ トが現れ、そのページを閲覧したユーザーの中からまた新たな被害者・感染サイトが現れる、という繰り返しが起こっていると考えられる。

 多くのサイトで感染被害が報告されており、そうしたページを閲覧したPCもまたウイルスに感染する危険があるため、ユーザー側でもウイルス対策を実施する必要がある。



詳細は

関連リンク
GENOウイルスまとめ

GENOウイルススレ ★23
GENOウイルススレ 感染4台目
【GENOウイルスは】GENOを語るスレ25【一般常識】


6:乳棒(群馬県) :2010/01/07(木) 21:13:35.51 ID:ZvbMIhJ7
http://2sen.dip.jp/cgi-bin/upgun/up1/source/up36170.pdf


14: バール(東京都) :2010/01/07(木) 21:25:38.08 ID:U9m4wqdB
>>6
Aviraが反応した、これがそのウイルスまで導くPDFか


19: 蛍光ペン(北海道) :2010/01/07(木) 21:30:41.32 ID:ksFoTSRU
>>6
カスペも反応した!


22: セロハンテープ(埼玉県) :2010/01/07(木) 21:40:22.20 ID:iyV4qPQX
>>6
MSE動作確認したありがとう
DLしようとする(DL開始していない)時に生成されるtempファイルの時点で認識するんだなふしぎ!


24: 泡立て器(愛知県) :2010/01/07(木) 21:47:49.72 ID:LvdBl2vJ
>>6
AVG9.0 DB : 270.14.129/2605

「ウイルス Exploit.PDF が特定されました」

テンポラリの時点で反応したな・・・


7: パイプレンチ(埼玉県) :2010/01/07(木) 21:13:36.68 ID:Xm7K071F
死してなお迷惑なGENO


9: 上皿天秤(長野県) :2010/01/07(木) 21:15:26.44 ID:nCvGLPiT
なかなかよく考えられたソフトだな。
いや、マジで感心した。


10: パイプレンチ(滋賀県) :2010/01/07(木) 21:15:48.96 ID:UUb5zkez
結構長く猛威ふるってるけど、根本的解決はまだなのかYO


11: ビーカー(高知県) :2010/01/07(木) 21:16:33.49 ID:2dLT8NaI
>>10
XPを使わない


12: パイプレンチ(dion軍) :2010/01/07(木) 21:17:11.90 ID:jmhn/0yw
>その情報を特定のサイトに送信する。
その特定のサイトを洗えばわかるもんなんじゃいの?


21: 手錠(catv?) :2010/01/07(木) 21:37:50.00 ID:IqQlkTpc
>>12
たしか、おそロシア


23: カッティングマット(千葉県) :2010/01/07(木) 21:43:56.26 ID:4MkH+cGv
GumblarってGENOのことかよ
ちゃんとGENOウイルスって言えよ紛らわしい


25: パイプレンチ(三重県) :2010/01/07(木) 21:48:33.29 ID:Iu90P3bC
>>1
Gumblarってこういう仕組みなんだな。
セキュリティ意識の低いウェブ管理者を炙り出す
素晴らしいウィルスじゃないか。もっと広まれよ。


26: パイプレンチ(三重県) :2010/01/07(木) 21:58:33.62 ID:Iu90P3bC
>その情報を特定のサイトに送信する。悪用者はこの情報を利用してFTPサーバーにアクセスし、HTMLファイルを書き換え、Web ページにスクリプトを埋め込む。
ここが手動なのがイケてないな。勝手にFTPサーバーにアクセスして
自動で内容を書き換えるようなウィルスなら完璧なのに。


27: 乳棒(宮城県) :2010/01/07(木) 22:07:45.45 ID:CEy6z091
手動だから毎回仕込まれるウイルスが違ってて怖いと聞いたが




このエントリーをはてなブックマークに追加


0 コメント :

コメントを投稿

【注意】投稿前にコメントの名前欄の確認を!!【注意】
Googleアカウントにログインした状態でコメントする際は、「コメントの記入者」の欄をよく確認してから投稿するようお願いいたします。

自動スパム検出機能により投稿が反映されない場合があります。スパムでないことが確認でき次第公開しますので、しばらくお待ちください。