アナログ
RSS  

Gumblar再襲来? (update)2009/10/18 23:56

通称GENOウイルスで有名なGumblarが活動を再開したらしいです。
流石に前回あれだけの騒ぎになっているので大した事にはならないだろうと思ってたのですけれど、どうやら世の中そんなによくできてないようで一度ある事は二度あるようです……
277 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/10/17(土) 03:56:41 0
どなたか助けてください。
昨日自分借りているxreaのコアサーバーでhtmlとjsファイルが改ざん
されているのを発見しました。
java src="うんちゃらphp"
などというものが書き込まれています。

今日も深夜1時過ぎから全て改ざんされ、機能とは別のURLになっています。

これは自分の力で解決できる内容なのでしょうか?

それともDBとかxreaの方で対応して貰わなければどうにもならないのでしょうか?

現在xreaのサポートに連絡を入れたところですが・・・
699 名前:既にその名前は使われています[] 投稿日:2009/10/18(日) 03:42:54 ID:jR+OWFzQ
ROのサイトだけど、xreaで改竄が発生中
ttp://minus-k.com/nejitsu/loader/up24565.png
ネ実のあぷろだを借りたのでこちらにも報告

<body>タグの直前に何やら挿入されるようです。
改竄例

FFXI(仮)  gumblar・martuz
単純な1行のscriptタグであること(URIの末尾はphp)、
誘導先は(有害な物が設置されてはいるものの)
いわゆる有害ドメインではないことから発覚しにくくなっています。
陥落サイトには難読化されたスクリプトが仕込まれたA群、A群へ誘導するscript src=~.phpが仕込まれたB群があるために、Gumblarの時のように有害ドメインをブロックする方法はあまり効果がないようです(A群B群ともに普通のサイトなので指定してたらきりがない)。

対策はGenoウイルス(Gumblar)再び - スラッシュドット・ジャパン Submissionを参考にされるといいと思います。

Flash Playerをアップデートしましょう
Adobe Reader 9.2 リリース

あと最近、時々UnderForge of Lackが見えないことがあるのでまるっとコピペ
2009.10.18 日曜日 (手抜き版) - UnderForge of Lack
Gumblar strikes back?

[EMERGENCY]
先日、さまれぼ!管理人様より警報を受け取っていたのですが、Gumblarに強いScanSafeも警報を発しました。
Gumblar Website Botnet Awakes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
sqlsodbc.chm
という、悪夢のキーワードをもった Gumblar(GENO/zlkon/Martuz/JSRedir-R/Daonol)が、蠢動を再開した模様です。

現時点で使用されている脆弱性は
MS09-043 : Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
という、9月に塞がれたものですが、それ以外にも脆弱性攻撃を仕掛けてくる可能性がありますので注意が必要です。

File HiwA7.dat received on 2009.10.13 16:44:45 (UTC)
Result: 7/41 (17.07%)


ということでお気をつけ下さい。

コメント

_ G`nome ― 2009/10/19 08:48

しくしく・・
うちだけ消されたのかな?とか思っていたのですが
どうも、www3サーバ全般が飛んだり、戻ったりを繰り返しているようです・・・

_ puppet ― 2009/10/19 14:55

G`nome様、いつもお世話になってます。m(_ _)m

この前から結構長い時間見えなかったりしてたので、無断でコピペしました。申し訳ありません。m(_ _)m

早くサーバが回復されるといいですね。
ってか私を含め愛読者?のためにも早く回復して欲しいです。(勝手な(^^; )

#こういう時用にブログ用のメアドとってこよう……

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
スパムがウザイので合い言葉を入れるようにしました。山と言えば川だろJK


コメント:

トラックバック

このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/10/18/4641706/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。