gumblarが話題になり始めたのはいいのだけど…… ― 2009/05/15 21:03
正規サイトに感染広がる:新手のWebベースマルウェアが急拡大 - ITmedia エンタープライズ
分かりづらいことこの上ない。
2chとか見たくない人も少なくはないでしょうから、役に立ちそうなのをコピペ
感染すると
感染したPCでWebを更新したりすると感染拡大……
予防対策
最新の情報を確認するようにしてください→Gumblar攻撃再開(要注意):対策
3.のNoScriptですが、gumblarタイプには気休め程度にしかなりません。
ただし、現在IEだけを狙い撃ちにしてるので、IE以外のブラウザ(Firefox、Safari、Opera)を使うのは有効な対策です。他のブラウザでも問題のPDFがダウンロードされたそうなので、意味がないようです。
また、Adobe ReaderのJavaScriptは必要ない限りOffにしましょう。
Foxit Readerだから関係ネーとか言ってると足元をすくわれます。最新版にアップデートしてJavaScriptは必要ない限りOffにしましょう。
Flash Playerの自動更新間隔をカスタマイズするも参考まで。
このウイルスに関してもっとも詳しいサイト。
UnderForge of Lack » Zlkon, Gumblar 問題に関して
UnderForge of Lack » Blog Archive » ぎゃんぶらぁ
このウイルスの対策が難しい話(コロコロ変わるのでウイルス対策ソフトには難しい)
zlkon.lv から gumblar.cn へ - cNotes: Current Status Notes
gumblar.cn の続き - cNotes: Current Status Notes
関連
Adobe Reader/Acrobatの脆弱性対策を考える
PDFビューアーの脆弱性を狙う攻撃
全てのページでFlashとAdobe Readerのバージョンアップの告知をするよう画像を貼ってみました。
前回はテキストで告知して、60%が85%になったんで効果あるかなぁと。
今回画像にしたのは、前回flashで検索したら全てのページがヒットしてしまうという間抜けな状態になったから。
そういうわけで告知をためらっていたのですが、お詫びがjpgなサイトを見てこれだ!とwww
さて、効果あるかな?
余談
これで関心のない人達にも伝わればいいねって感じになってきたと思ったら
UnderForge of Lack ? Blog Archive » 記事削除のお知らせとお詫び
-削除と追記-
ここに書いてあった感想は次の理由で削除しました。
UnderForge of Lack » Blog Archive » nifty-serve 感染?に関する誤解へのお詫び
ということだそうです。
ここにそれっぽい感想を書いてた事をお詫びします。m(_ _)m
JSRedir-Rは難読化されたJavaScriptに隠す形で正規サイトに仕掛けられ、ユーザーが知らないうちに別のサイトから悪質なコンテンツをロードする。相当量のトラフィックがある大手アダルトサイトなど、多数のWebサイトで見つかっているという。
分かりづらいことこの上ない。
2chとか見たくない人も少なくはないでしょうから、役に立ちそうなのをコピペ
感染すると
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
感染したPCでWebを更新したりすると感染拡大……
(1)感染してるサイトを閲覧する
(2)自分のパソコンが感染する
(3)その状態でFTPで自分のサイトを更新する
(4)その時にFTPのIDとパスを抜かれる
(5)ウイルスが勝手にHTML、phpファイル等に
不正なジャバスクリプトを埋め込む
(6)サイトが感染状態になる。
(7)そのサイトを見た人が感染する
予防対策
最新の情報を確認するようにしてください→Gumblar攻撃再開(要注意):対策
1.Adobe Flash Player の最新版にアップデート追記:必須対策は1.と2.です。3.以降は強化対策になります。
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
3.のNoScriptですが、gumblarタイプには気休め程度にしかなりません。
また、Adobe ReaderのJavaScriptは必要ない限りOffにしましょう。
1.Adobe Readerを起動し「編集」メニューの「環境設定」 「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す) OKを押して設定確定後、Adobe Readerを終了。
Foxit Readerだから関係ネーとか言ってると足元をすくわれます。最新版にアップデートしてJavaScriptは必要ない限りOffにしましょう。
Flash Playerの自動更新間隔をカスタマイズするも参考まで。
このウイルスに関してもっとも詳しいサイト。
UnderForge of Lack » Zlkon, Gumblar 問題に関して
UnderForge of Lack » Blog Archive » ぎゃんぶらぁ
このウイルスの対策が難しい話(コロコロ変わるのでウイルス対策ソフトには難しい)
zlkon.lv から gumblar.cn へ - cNotes: Current Status Notes
gumblar.cn の続き - cNotes: Current Status Notes
関連
Adobe Reader/Acrobatの脆弱性対策を考える
PDFビューアーの脆弱性を狙う攻撃
全てのページでFlashとAdobe Readerのバージョンアップの告知をするよう画像を貼ってみました。
前回はテキストで告知して、60%が85%になったんで効果あるかなぁと。
今回画像にしたのは、前回flashで検索したら全てのページがヒットしてしまうという間抜けな状態になったから。
そういうわけで告知をためらっていたのですが、お詫びがjpgなサイトを見てこれだ!とwww
さて、効果あるかな?
余談
これで関心のない人達にも伝わればいいねって感じになってきたと思ったら
UnderForge of Lack ? Blog Archive » 記事削除のお知らせとお詫び
理由はお察しのとおり。
ですが、一言だけ・・・・・
感染したのは不可抗力かもしれませんが、その後放置したり、無告知で再開したりするのはあまりお奨めできません。
もう、多くは語りませんケドね
-削除と追記-
ここに書いてあった感想は次の理由で削除しました。
UnderForge of Lack » Blog Archive » nifty-serve 感染?に関する誤解へのお詫び
一部に流布されているような圧力の存在は、ここに一切無いことをお断りしておきます。
ということだそうです。
ここにそれっぽい感想を書いてた事をお詫びします。m(_ _)m
コメント
_ g`nome ― 2009/05/19 00:54
_ puppet ― 2009/05/19 21:31
g`nome様、いつもウイルスの情報をありがたく拝見しております。
|コチラのことでは無いことを、お伝えしておきます~
ありがとうございます。
悪意ない感想のつもりでしたが、尾ひれがつけば迷惑になる事に後になって気が付きました。
以後、気を付けたいと思います。
|はやくパンデミック状態から回復することだけを願っています。
本当に1日も早く回復して欲しいものです。
|コチラのことでは無いことを、お伝えしておきます~
ありがとうございます。
悪意ない感想のつもりでしたが、尾ひれがつけば迷惑になる事に後になって気が付きました。
以後、気を付けたいと思います。
|はやくパンデミック状態から回復することだけを願っています。
本当に1日も早く回復して欲しいものです。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/05/15/4306976/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
(もちろん)コチラのことでは無いことを、お伝えしておきます~
はやくパンデミック状態から回復することだけを願っています。