べつになんでもないこと

通称GENOウイルスで有名なGumblarが活動を再開したらしいです。
流石に前回あれだけの騒ぎになっているので大した事にはならないだろうと思ってたのですけれど、どうやら世の中そんなによくできてないようで一度ある事は二度あるようです……

277 名前：名無しさん＠お腹いっぱい。[] 投稿日：2009/10/17(土) 03:56:41 0

どなたか助けてください。
昨日自分借りているxreaのコアサーバーでhtmlとjsファイルが改ざん
されているのを発見しました。
java src="うんちゃらphp"
などというものが書き込まれています。

今日も深夜1時過ぎから全て改ざんされ、機能とは別のURLになっています。

これは自分の力で解決できる内容なのでしょうか？

それともDBとかxreaの方で対応して貰わなければどうにもならないのでしょうか？

現在xreaのサポートに連絡を入れたところですが・・・

699 名前：既にその名前は使われています[] 投稿日：2009/10/18(日) 03:42:54 ID:jR+OWFzQ

ROのサイトだけど、xreaで改竄が発生中
ttp://minus-k.com/nejitsu/loader/up24565.png
ネ実のあぷろだを借りたのでこちらにも報告

<body>タグの直前に何やら挿入されるようです。

FFXI(仮)　 gumblar・martuz

単純な1行のscriptタグであること(URIの末尾はphp)、
誘導先は(有害な物が設置されてはいるものの)
いわゆる有害ドメインではないことから発覚しにくくなっています。

陥落サイトには難読化されたスクリプトが仕込まれたＡ群、Ａ群へ誘導するscript src=～.phpが仕込まれたＢ群があるために、Gumblarの時のように有害ドメインをブロックする方法はあまり効果がないようです（Ａ群Ｂ群ともに普通のサイトなので指定してたらきりがない）。

対策はGenoウイルス(Gumblar)再び - スラッシュドット・ジャパン Submissionを参考にされるといいと思います。

Flash Playerをアップデートしましょう
Adobe Reader 9.2 リリース

あと最近、時々UnderForge of Lackが見えないことがあるのでまるっとコピペ
2009.10.18 日曜日 (手抜き版) - UnderForge of Lack

Gumblar strikes back?

[EMERGENCY]
先日、さまれぼ！管理人様より警報を受け取っていたのですが、Gumblarに強いScanSafeも警報を発しました。
Gumblar Website Botnet Awakes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
sqlsodbc.chm
という、悪夢のキーワードをもった Gumblar(GENO/zlkon/Martuz/JSRedir-R/Daonol)が、蠢動を再開した模様です。

現時点で使用されている脆弱性は
MS09-043 : Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
という、９月に塞がれたものですが、それ以外にも脆弱性攻撃を仕掛けてくる可能性がありますので注意が必要です。

File HiwA7.dat received on 2009.10.13 16:44:45 (UTC)
Result: 7/41 (17.07%)

ということでお気をつけ下さい。