gumblar改めJSRedir-Rと呼んだ方がいいの? ― 2009/05/18 01:18
新たな「Webウイルス」が猛威、感染被害が急増:ITpro
今のところJSRedir-Rよりgumblarの方が通りがいいし、日本では「GENOウイルス」(zlkonも無理か?)じゃなと通りが悪いのですけど、マスコミというかニュースサイトが話題にしないから何て呼べばいいのやら。
それはさておき、ウイルスがgumblar.cnからダウンロードされてたのが、martuz.cn(リンク先はFFXI(仮))からダウンロードされるようになったそうです。
hostsに「0.0.0.0 martuz.cn」追加と。
そのウイルスの動作なのですが、2chにこんなレスが
というわけで、ID、PassWordが盗まれるのは間違いないと。
(感染したパソコンのワームが改竄してるだけではないということ)
他にもスナップショットをとってどこかへ送信してるという話ですから、カードや銀行のパスワードとかも危ないかも。
さらに
手配書(ウイルス定義)を配っても、相手が二十面相では意味がないってやつですね。
対策方法は変わってませんのでgumblarが話題になり始めたのはいいのだけど……を参照のこと。
それにしても、感染サイトが多いです。(そして無告知再開パネーw)
騒ぎになったから見つかったとしたら、感染者は相当いると思われます。
特に同人系の腐女子が阿鼻叫喚。
コンピュータに詳しくないのに、Webサイト持ってたりするからパンデミックになってるようです。
しかも、2chで情報集めてて感染サイトのリンクを開いて感染する人まで……
大体、ウイルス情報を集めるのに、ブラウザのJavaScriptを切ってないってのは迂闊すぎます。
こんなとき、JavaScriptを切って見れないサイトの情報なんて集める必要はないのです。
まあ、次は気を付けてと。
今回報告されたウイルスは、同社が「JSRedir-R」と命名したもの。実体はJavaScriptで書かれたプログラム(図1)。多くの場合、攻撃者は何らかの方法で正規サイトに不正アクセスし、このウイルスをWebページに埋め込む。そのページにユーザーがアクセスすると、埋め込まれたウイルスが動き出し、別のウイルスを勝手にインストールされる恐れなどがある。
今のところJSRedir-Rよりgumblarの方が通りがいいし、日本では「GENOウイルス」(zlkonも無理か?)じゃなと通りが悪いのですけど、マスコミというかニュースサイトが話題にしないから何て呼べばいいのやら。
それはさておき、ウイルスがgumblar.cnからダウンロードされてたのが、martuz.cn(リンク先はFFXI(仮))からダウンロードされるようになったそうです。
hostsに「0.0.0.0 martuz.cn」追加と。
そのウイルスの動作なのですが、2chにこんなレスが
- 624 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 22:52:49
感染者です 感染はPC3台中1台 管理サイト4中2サイト感染 感染確認後該当PCをネットワークから物理的に遮断 感染してないPCは推奨対策を実施 別PCより感染サイト1つを除いてパスの変更 感染サイト2つは規模が小さいので レンサバのファイルマネージャーより感染ファイルの該当コードを削除 パスの変更を行ってないサイトは該当コード削除後 約1時間後に2分位の間に再び改ざんされた パスの変更を行ったサイトは無事 感染PCはFFTPを使用しているが感染時期より後に接続を行ったサイトが感染したもよう 現在は管理サイトすべてのパスを変更しました
というわけで、ID、PassWordが盗まれるのは間違いないと。
(感染したパソコンのワームが改竄してるだけではないということ)
他にもスナップショットをとってどこかへ送信してるという話ですから、カードや銀行のパスワードとかも危ないかも。
さらに
- 401 名前:192.168.0.774[sage] 投稿日:2009/05/17(日) 22:38:51 ID:N9SKEU4J0
-
検出スレから少し出張してきました。 http://pc11.2ch.net/test/read.cgi/sec/1235459712/963 の一部自己転載です。 ----- え~、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に 作成されるファイルを仮想PCで確保してみました。 ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。) muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。 MD5 : 3862b349b9b5c9283925e181ff9f5bf8 http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40) sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白) MD5 : 34cd61d83853e511f0a28027f639a1c9 http://www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40) muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように) gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで 対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。 sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。 感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。 ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。 あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。 バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。 このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅) するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。 タチ悪すぎ...
手配書(ウイルス定義)を配っても、相手が二十面相では意味がないってやつですね。
対策方法は変わってませんのでgumblarが話題になり始めたのはいいのだけど……を参照のこと。
それにしても、感染サイトが多いです。(そして無告知再開パネーw)
騒ぎになったから見つかったとしたら、感染者は相当いると思われます。
特に同人系の腐女子が阿鼻叫喚。
コンピュータに詳しくないのに、Webサイト持ってたりするからパンデミックになってるようです。
しかも、2chで情報集めてて感染サイトのリンクを開いて感染する人まで……
大体、ウイルス情報を集めるのに、ブラウザのJavaScriptを切ってないってのは迂闊すぎます。
こんなとき、JavaScriptを切って見れないサイトの情報なんて集める必要はないのです。
まあ、次は気を付けてと。
コメント
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/05/18/4310523/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。