gumblar改めJSRedir-Rと呼んだ方がいいの? ― 2009/05/18 01:18
新たな「Webウイルス」が猛威、感染被害が急増:ITpro
今のところJSRedir-Rよりgumblarの方が通りがいいし、日本では「GENOウイルス」(zlkonも無理か?)じゃなと通りが悪いのですけど、マスコミというかニュースサイトが話題にしないから何て呼べばいいのやら。
それはさておき、ウイルスがgumblar.cnからダウンロードされてたのが、martuz.cn(リンク先はFFXI(仮))からダウンロードされるようになったそうです。
hostsに「0.0.0.0 martuz.cn」追加と。
そのウイルスの動作なのですが、2chにこんなレスが
というわけで、ID、PassWordが盗まれるのは間違いないと。
(感染したパソコンのワームが改竄してるだけではないということ)
他にもスナップショットをとってどこかへ送信してるという話ですから、カードや銀行のパスワードとかも危ないかも。
さらに
手配書(ウイルス定義)を配っても、相手が二十面相では意味がないってやつですね。
対策方法は変わってませんのでgumblarが話題になり始めたのはいいのだけど……を参照のこと。
それにしても、感染サイトが多いです。(そして無告知再開パネーw)
騒ぎになったから見つかったとしたら、感染者は相当いると思われます。
特に同人系の腐女子が阿鼻叫喚。
コンピュータに詳しくないのに、Webサイト持ってたりするからパンデミックになってるようです。
しかも、2chで情報集めてて感染サイトのリンクを開いて感染する人まで……
大体、ウイルス情報を集めるのに、ブラウザのJavaScriptを切ってないってのは迂闊すぎます。
こんなとき、JavaScriptを切って見れないサイトの情報なんて集める必要はないのです。
まあ、次は気を付けてと。
今回報告されたウイルスは、同社が「JSRedir-R」と命名したもの。実体はJavaScriptで書かれたプログラム(図1)。多くの場合、攻撃者は何らかの方法で正規サイトに不正アクセスし、このウイルスをWebページに埋め込む。そのページにユーザーがアクセスすると、埋め込まれたウイルスが動き出し、別のウイルスを勝手にインストールされる恐れなどがある。
今のところJSRedir-Rよりgumblarの方が通りがいいし、日本では「GENOウイルス」(zlkonも無理か?)じゃなと通りが悪いのですけど、マスコミというかニュースサイトが話題にしないから何て呼べばいいのやら。
それはさておき、ウイルスがgumblar.cnからダウンロードされてたのが、martuz.cn(リンク先はFFXI(仮))からダウンロードされるようになったそうです。
hostsに「0.0.0.0 martuz.cn」追加と。
そのウイルスの動作なのですが、2chにこんなレスが
- 624 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 22:52:49
感染者です 感染はPC3台中1台 管理サイト4中2サイト感染 感染確認後該当PCをネットワークから物理的に遮断 感染してないPCは推奨対策を実施 別PCより感染サイト1つを除いてパスの変更 感染サイト2つは規模が小さいので レンサバのファイルマネージャーより感染ファイルの該当コードを削除 パスの変更を行ってないサイトは該当コード削除後 約1時間後に2分位の間に再び改ざんされた パスの変更を行ったサイトは無事 感染PCはFFTPを使用しているが感染時期より後に接続を行ったサイトが感染したもよう 現在は管理サイトすべてのパスを変更しました
というわけで、ID、PassWordが盗まれるのは間違いないと。
(感染したパソコンのワームが改竄してるだけではないということ)
他にもスナップショットをとってどこかへ送信してるという話ですから、カードや銀行のパスワードとかも危ないかも。
さらに
- 401 名前:192.168.0.774[sage] 投稿日:2009/05/17(日) 22:38:51 ID:N9SKEU4J0
-
検出スレから少し出張してきました。 http://pc11.2ch.net/test/read.cgi/sec/1235459712/963 の一部自己転載です。 ----- え~、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に 作成されるファイルを仮想PCで確保してみました。 ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。) muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。 MD5 : 3862b349b9b5c9283925e181ff9f5bf8 http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40) sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白) MD5 : 34cd61d83853e511f0a28027f639a1c9 http://www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40) muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように) gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで 対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。 sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。 感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。 ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。 あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。 バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。 このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅) するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。 タチ悪すぎ...
手配書(ウイルス定義)を配っても、相手が二十面相では意味がないってやつですね。
対策方法は変わってませんのでgumblarが話題になり始めたのはいいのだけど……を参照のこと。
それにしても、感染サイトが多いです。(そして無告知再開パネーw)
騒ぎになったから見つかったとしたら、感染者は相当いると思われます。
特に同人系の腐女子が阿鼻叫喚。
コンピュータに詳しくないのに、Webサイト持ってたりするからパンデミックになってるようです。
しかも、2chで情報集めてて感染サイトのリンクを開いて感染する人まで……
大体、ウイルス情報を集めるのに、ブラウザのJavaScriptを切ってないってのは迂闊すぎます。
こんなとき、JavaScriptを切って見れないサイトの情報なんて集める必要はないのです。
まあ、次は気を付けてと。
小沢代表代行 ― 2009/05/18 06:47
な… 何を言ってるのか わからねーと思うが
おれも何をされたのかわからなかった…(AA略)
痛いニュース(ノ∀`):【民主党】 小沢氏が代表代行に、岡田氏が幹事長に内定
民主党の鳩山代表は党の役員人事について、小沢前代表を選挙を担当する代表代行 に、代表選挙で戦った岡田副代表を党運営の要である幹事長に、それぞれ起用する ことを内定し、17日夜に発表しました。
/:/:.::/: : : : /..:/:.::.:.::.:...... ::.::.::.::.ヽ
ノィ:..::/:/:...::./::./::.: イ':..:/:.::.:.::.:...} :.::.::.::l
l:./.7.::.::./:イ/ /:イ:.::.::./::.:./::.:....:.::.:l
|:{/ 7:.::: イ′ー 、/´ /:.:. イ:::.:.:/:./:.:|:.:.:|:|
j,小.|:.:/ _ \_j/ /::/j:/::.:/:.:.:.!:!
/小.!/ ``=ミr‐ミ'/⌒} /イ::./:..|:.::ハ!
ノイイ/!′ } ノ _ ムーノ:/:.:/|:/ さっぱり訳がわからない
 ̄`ヽー- 、 __ /了|´ | /ノ ヽV:イ:./ j′
.ヽ:..:..:..丶:..:..:..}:..:..::| | l / { ノ´ わかる奴がいたらここに来い
:..:..l:..:..:..:..:..:..:..!:..:..:..| l l く`{ i′
:..:..:l:..:..:..:..:..:..:l:..:..:..:.| l ハ `ソ_ } そして俺に説明しろ
ー..、`ヽ:..::..::/..:::.::.::.:.l ヽ >≦--.、ヽ /
二:..ヽ:{:..:.::.:>ー::´::| /ク′:..:..:..::.::.\ヽ /
::.::.::.:ーヽ::.::|::.::.::.::.::.::.|^>':..:..:..:..:..:..::.::.::.::.:ヽV
::.::.::.::.::.:{::.::.:l::.::.::.::.::/:..:..:..:..:..:..::.::.::.::.::.::.::.ヽ〉
.::.::.::.::.::.:ヽ::.::.l::.::/:..:..:..:..::.:..:..::.::.::.::.::.::.::.::.::.::〉
このシナリオ書いたの誰だ!
茶番劇のがまだ見応えあるぞ。
小沢で選挙に勝てないから辞任させたんじゃないのか?
それで選挙を担当させるってアタマおかしいんじゃね?
-追記-
【鳩山新代表】「兄は小沢氏の操り人形に見える」鳩山総務相 - MSN産経ニュース
鳩山邦夫総務相は19日午前の記者会見で、兄の鳩山由紀夫氏を代表とする民主党新執行部の発足について「誰が見ても(由紀夫氏は)小沢一郎代表代行の操り人形に見える。兄弟連携は常に考えておきたいが、『脱小沢』でないと連携はできない」と批判した。
/⌒ パカッ ´ ̄`ヽ、 、 / |三 | ヽ´\ /´ ノー ≡-‐------≡| ―´ ̄| \ / / | (;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;| | \ / / ̄ | // | \_ | | / |// ..... .......≡| | | ヽ |へ、 ||| .) ( | /ヽ | | ヽ|=ヽ、ヽ .|.-=・‐. ‐=・=- | ノ=\_, ヽ、/´ヽ |●ノ 丿 | .| 'ー .ノ 'ー-‐' | ヽ●__/ / / ̄ノ / | ノ(、_,、_)\ | `― ヽ/ (  ̄ ( .|. ___ \ | )ー |ノ /⌒ パカッ ´ ̄`ヽ、 、 / |三 ヽ´\ /´ ノー ..--‐‐| パカッ |‐‐‐‐‐‐--≡| ―´ ̄| \ / / | (;;;;;;;;;;;;;;| |;;;;;;;;;;;;;;;;;;;;:::::| | \ / / ̄ | // | | ヽ| \_ | | / |// ..... |三 アイヤー 三 | ........ / | | | ヽ |へ、 |||| .) | ≡ ∧∧ ≡| ( | /ヽ | | ヽ|=ヽ、ヽ .|.|.-=・‐. | ∧∧ /支\∧∧ | ‐=・=- | ノ=\_, ヽ、/´ヽ |●ノ 丿 |.| 'ー .ノ |<`∀´( `ハ´ )`∀´>| 'ー-‐' | ヽ●__/ / / ̄ノ / || ノ(、_,,|( 北 ( φφ )¶ 韓)|、_)\ | `― ヽ/ (  ̄ ( .||. _| ̄ ̄ ̄ ̄ ̄ ̄ | |__ \ | )ー |ノ
JSRedir-R(gumblar/zlkon)関連の動き ― 2009/05/18 22:00
通称GENOウイルスの認知度が上がって良かったなぁと思ってたら、あることないこと書いてる酷いブログが現れた。
「GENOウィルス」がヤバい9つの理由。これはもっと騒がれるべき。 - ヌルめのつぶやき
まだ存在もしない危険性を取り上げて煽りまくり。鵜呑みにしないように。
Firefoxの件だけでも次のようなデマを書いてます。
そもそも、普段からインストールしているソフトを最新にしていれば、GENOウイルスだって取るに足らないものだったのに、ズボラしてる人が多すぎるから大事になってるだけの話。
予防対策は全く変わっていません。
GENOウイルスまとめ - トップページ (ちなみにセキュリティ板は荒れてますので見るだけ無駄です)
【FC2】ホームページをご利用のお客様へ重要なお知らせです。
UnderForge of Lack » Blog Archive » martuz 関連の新たな IP?
とりあえず0-day攻撃ではないのですから、Windowsやソフトを最新にして、感染サイトを見ても大丈夫なようにしておきましょうと。
gumblar.cn から martuz.cn へ - cNotes: Current Status Notes
サイト改ざん:汚染・再汚染サイトが相次ぎ発覚、攻撃サイトは再び移動
例えば、成美堂出版
「GENOウィルス」がヤバい9つの理由。これはもっと騒がれるべき。 - ヌルめのつぶやき
まだ存在もしない危険性を取り上げて煽りまくり。鵜呑みにしないように。
Firefoxの件だけでも次のようなデマを書いてます。
Firefoxの「先読み機能」なんかも注意が必要。手動で踏まなくても勝手に読みに行ったりする。読みに行った先が感染サイトだったら・・・アウト。噂を鵜呑みにしてはいけません - Mozilla Flux
- Firefoxの先読み機能は、Webページ内に個別の指定がある場合にだけはたらく。ただし、より一般的な先読み機能を提供するアドオンは存在する。
- 仮に先読み機能が働いた場合でも、読み込んだページのスクリプトをあらかじめ実行したりはしない。
- Firefox 3.5に搭載されるDNSプリフェッチ機能は、ページ自体の先読み機能とは別物。
そもそも、普段からインストールしているソフトを最新にしていれば、GENOウイルスだって取るに足らないものだったのに、ズボラしてる人が多すぎるから大事になってるだけの話。
予防対策は全く変わっていません。
GENOウイルスまとめ - トップページ (ちなみにセキュリティ板は荒れてますので見るだけ無駄です)
【FC2】ホームページをご利用のお客様へ重要なお知らせです。
古いAdobe Readerをご利用になっている、または、Adobe ReaderでJavascriptを実行するよう設定していると影響を受けてしまいます。
お客様の大切なWebサイトが改ざんされることのないよう、Adobe Readerのアップデートまたは、Adobe ReaderでJavascriptを実行させないよう設定を変更頂く事を強くお勧めいたします。
また、ウィルスへの感染が疑われる場合は、ウィルスの駆除を実施した後、FTPアカウント名、パスワードの変更を実施される事を強くお勧めいたします。
UnderForge of Lack » Blog Archive » martuz 関連の新たな IP?
最初、このインジェクションを見たとき、「PHPだともっと訳わかんなくできるような?」とか思っていたのが現実化しました。これはまた、ずいぶん困った話ですねぇ。
(中略)
これはPHPを使った CMS の場合、どこにその悪意コードが入っているのか? 少しチェックしただけでは判らなくなってしまったことを意味しています。
Wordpress等の PHP ベースの CMS を展開しているサイトオーナの方は、自分が意図した覚えの無い include(), require()の存在に注意するようにしてください。
※といっても、「勝手にインジェクションされるものを、どう注意しろっていうんだ!?」というお叱りの声がチラホラ・・・
とりあえず0-day攻撃ではないのですから、Windowsやソフトを最新にして、感染サイトを見ても大丈夫なようにしておきましょうと。
gumblar.cn から martuz.cn へ - cNotes: Current Status Notes
サイト改ざん:汚染・再汚染サイトが相次ぎ発覚、攻撃サイトは再び移動
これまでにもお伝えしてきたが、感染を防ぐためには、まずパソコンにインストールされているAdobe ReaderとFlashPlayerを最新版にしよう。更新の方法は関連記事の「PDF閲覧ソフトAdobe Readerの修正版公開、深刻な脆弱性2件を修正」と「正規サイト改ざん(3)ウイルスに感染しないための対策」に記載されている。JavaScript(Javaではない)を無効にするのも有効な回避策だ。マジメに感染告知してるところが可哀相です。無告知や告知になってないところをどうにかしないと。
例えば、成美堂出版
感染中にサイトを見たお客さんは全然安心じゃないのですけど、何言ってるんですか?
- ■ウィルス感染対策済のお知らせ
- 2009/05/16の朝海外サイトからの攻撃でウィルスを仕込まれご心配をおかけしましたが
すべてクリアし、また対策も済んでおりますのでご安心ください。
最近のコメント