Gumblar攻撃再開(要注意) ― 2009/11/05 04:51
[緊急] Gumblar攻撃再開 - UnderForge of Lack
FFXI(仮) gumblar.x
◆Microsoft(Windows) Updateで最新の状態にします。
◆利用中のプラグインをアップデートします。(分からない場合は下のトピックをよく読んで)
初心者必読! しないと怖い「プラグイン」アップデートの方法 - So-net
わかりますか? この言葉~「プラグインの更新なんて無理!」という方に - So-net
(↓使ってないプラグインやアプリケーションはアンインストールしましょう)
◇Flash Playerをアップデートしましょう
◇Adobe Readerのダウンロード Windows版 Macintosh版 UNIX版
PDFにもJavaScriptがありますので基本Offにしましょう→例1 - INTERNET Watch 例2(Foxit Reader)
lac-YouTube - 「Adobe Readerの脆弱性は修正されたけど、設定はこうしておこう!」
→Adobe Reader 「信頼管理マネージャー」/「マルチメディアの信頼性」、Foxit Reader 「Trust Manager」
◇サン、複数の脆弱性を修正した「JRE 5.0/6」の最新版を公開 - So-net(記事消滅 orz)
(Vistaではアップデートに失敗する場合あり。その時は以下のリンクでダウンロードしてインストールする)
JRE Download(java.com) Java SE Downloads(oracle.com)
※古いJREはアンインストールすべきです(バージョンを指定して起動されてしまう恐れがあります)
◇QuickTime Player
◇Adobe - Adobe AIR
◇Adobe - Adobe Shockwave Player インストール確認→こちらのムービーが動かないなら入ってない。
(旧バージョンをアンインストールしOSを再起動後、インストールを推奨
Adobe - Security Bulletins: APSB10-03 Security update available for Shockwave Player)
補足
PDFは稀に表示が崩れたり、見れなかったりしてもよい場合、Adobe以外のソフトを使うのも手です。
窓の杜 - PDF
ビューアー
窓の杜 - PDF-XChange Viewer
窓の杜 - Foxit Reader
ただし、脆弱性があってもAdobeほど騒がれませんので、アップデートがないか定期的に調べるか、Secunia PSI - 窓の杜のような管理ツールを使うことをおすすめします。
「PDFの表示あれこれ」 0-day攻撃発生の勢いで書いたのであまりまとまってませんが参考まで。
人(Webサイト持ち)によっては「ガンブラーに改竄されていないかチェック」もどうぞ。
あと、あまり役にたたない感染チェックの参考になりそうな「Gumblarとガンブラー (Update)」
関連
新Gumblar関連?真っ黒の画面にマウスカーソルだけ
Gumblar再襲来? (update)
参考
「ガンブラー」「サイト改ざん」めぐる基本のQ&A ~ 何が起きている? 対策は? - So-net
Gumblar(GENOウイルス)再来襲。いろいろQ&A集。 - 無題なブログ
エフセキュアブログ : New Gumblarとその亜種に関する注意喚起
Gumblar再来襲。脆弱性を突くJavaScriptコードが変化。 - 無題なブログ
Gumblar再来襲。発動するウイルスを1週間に渡って収集してみた。 - 無題なブログ
Gumblar攻撃再開~「新たな攻撃コード」にウイルス対策ソフト全滅 - So-net
Gumblar再再起動 - cNotes: Current Status Notes
GEEKy Script Writer [perl and more!] 11月4日からのGumblarは何が変わったのか
回復コンソールでレジストリをコピーして、それをregedit.exeに読み込ませたらどうなるのだろう?
「Driver32」という名前だったら見境なく隠蔽されるのだろうか?
kanariia.com blog - wordpressがクラックされたよ症状と対策まとめ
抗争なのか何なのかよくわからない状況で無害化されていたスクリプトが一斉に復旧しています。
現時点での脆弱性攻撃に変動があるかどうかは不明ですが、とりあえずいつも通りの対策をとっておきましょう。
FFXI(仮) gumblar.x
難読化する必要がない404が難読化されていました。
ガンブラー対策(Gumblar/8080)
対策まとめ:初心者必見! 究極の感染対策「6つの約束」を実行しよう◆Microsoft(Windows) Updateで最新の状態にします。
◆利用中のプラグインをアップデートします。(分からない場合は下のトピックをよく読んで)
初心者必読! しないと怖い「プラグイン」アップデートの方法 - So-net
わかりますか? この言葉~「プラグインの更新なんて無理!」という方に - So-net
(↓使ってないプラグインやアプリケーションはアンインストールしましょう)
◇Flash Playerをアップデートしましょう
◇Adobe Readerのダウンロード Windows版 Macintosh版 UNIX版
PDFにもJavaScriptがありますので基本Offにしましょう→例1 - INTERNET Watch 例2(Foxit Reader)
lac-YouTube - 「Adobe Readerの脆弱性は修正されたけど、設定はこうしておこう!」
→Adobe Reader 「信頼管理マネージャー」/「マルチメディアの信頼性」、Foxit Reader 「Trust Manager」
◇サン、複数の脆弱性を修正した「JRE 5.0/6」の最新版を公開 - So-net(記事消滅 orz)
(Vistaではアップデートに失敗する場合あり。その時は以下のリンクでダウンロードしてインストールする)
JRE Download(java.com) Java SE Downloads(oracle.com)
※古いJREはアンインストールすべきです(バージョンを指定して起動されてしまう恐れがあります)
◇QuickTime Player
◇Adobe - Adobe AIR
◇Adobe - Adobe Shockwave Player インストール確認→こちらのムービーが動かないなら入ってない。
(旧バージョンをアンインストールしOSを再起動後、インストールを推奨
Adobe - Security Bulletins: APSB10-03 Security update available for Shockwave Player)
補足
- JavaとJavaScriptは別物です
- ブラウザのJavaScriptを切るのを推奨しますが、JavaScriptに脆弱性があるわけでも悪いわけでもありません。脆弱性を突く手段としてよく利用されているというだけです。Firefoxを使っているならアドオン(NoScript、RequestPolicyなど)により軽減可能です
- ガンブラーがQuickTimeやShockwave PlayerやAIRの脆弱性を利用したという情報はありません。利用するなら脆弱性はふさいでおきましょうということで書いてます。
- IWinAmpActiveXの脆弱性が利用されている件ですが、どうにも対策方法が分かりませんので対策方法の分かる人以外アンインストールしましょう。
- PDFにもJavaScriptがあります。必須でない限り切りましょう。例1 - INTERNET Watch 例2(Foxit Reader)
ユーザ毎の設定になりますので、複数ユーザで利用されてるパソコンでは、一々各ユーザにログインしてこの作業をしなくてはいけません。 - Gumblarをある程度細かく分けて扱っていましたが、ガンブラーは攻撃手法だとシマンテックがいうので似通った攻撃はGumblarカテゴリーに仕訳ます
PDFは稀に表示が崩れたり、見れなかったりしてもよい場合、Adobe以外のソフトを使うのも手です。
窓の杜 - PDF
ビューアー
窓の杜 - PDF-XChange Viewer
窓の杜 - Foxit Reader
ただし、脆弱性があってもAdobeほど騒がれませんので、アップデートがないか定期的に調べるか、Secunia PSI - 窓の杜のような管理ツールを使うことをおすすめします。
「PDFの表示あれこれ」 0-day攻撃発生の勢いで書いたのであまりまとまってませんが参考まで。
人(Webサイト持ち)によっては「ガンブラーに改竄されていないかチェック」もどうぞ。
あと、あまり役にたたない感染チェックの参考になりそうな「Gumblarとガンブラー (Update)」
関連
新Gumblar関連?真っ黒の画面にマウスカーソルだけ
Gumblar再襲来? (update)
参考
「ガンブラー」「サイト改ざん」めぐる基本のQ&A ~ 何が起きている? 対策は? - So-net
◆Q1 サイトの改ざんとウイルス感染はどのように結びついているのでしょうか。 ◆Q2 改ざんされたサイトは、見た目に何か変化があるのでしょうか。 ◆Q3 改ざんされたサイトにアクセスすると、必ずウイルスに感染するのでしょうか。 ◆Q4 サイト改ざんでは、現在までずっと同じ攻撃方法が使われているのでしょうか。 ◆Q5 ニュース等でよく目にする「ガンブラー」とは何を指しているのでしょうか。 ◆Q6 「Gumblar」や「Gumblar.x」の情報は、「8080」にもあてはまりますか。 ◆Q7 感染した場合、ウイルスはどんな悪さをするのでしょうか。 ◆Q8 どんな状態のパソコンがウイルスに感染してしまうのでしょうか。 ◆Q9 ウイルス感染を防ぐための対策を教えてください。 ◆Q10 何も対策していない状態で改ざんサイトを閲覧してしまいました。どうすればいい?
Gumblar(GENOウイルス)再来襲。いろいろQ&A集。 - 無題なブログ
エフセキュアブログ : New Gumblarとその亜種に関する注意喚起
また、追加情報によると、初代GumblerはFTPのアカウント情報が盗まれましたが、今回はウェブサイトの閲覧履歴の情報も持っていかれているようです。
Gumblar再来襲。脆弱性を突くJavaScriptコードが変化。 - 無題なブログ
改ざんされたページから不正なコードで導かれた先にある脆弱性を突くJavaScriptコードが従来と違うパターンのものを確認してます(18日あたりから)。Adobe以外に、MDAC(Microsoft Data Access Components)の脆弱性を突くっぽい雰囲気な処理が現れます。
Gumblar再来襲。発動するウイルスを1週間に渡って収集してみた。 - 無題なブログ
新しい検体ほど対応数が少ないという感じ。ウイルス本体はほとんど毎日差し替えられてます。
Gumblar攻撃再開~「新たな攻撃コード」にウイルス対策ソフト全滅 - So-net
5日時点で再調査を実施したところ、サイト側で削除が19件から14件に減り、他の47件は何らかの改ざん状態にあった。攻撃コードを除去したはずのサイトも、再改ざんを受けて復活しているのだ。
Gumblar再再起動 - cNotes: Current Status Notes
GEEKy Script Writer [perl and more!] 11月4日からのGumblarは何が変わったのか
やってることはこういうこと。ということで、普通の方法でmidi9の有無を見て感染確認する方法は使えないようです。
(1) regedit.exe起動時にGumblarのDLLが挿入される
(2) DLLがZwOpenKeyを書き換えてRegOpenKeyExが呼ばれた場合に、挿入したコードにジャンプさせるようにする
(3) ユーザーがregedit.exeでDriver32を開く → RegOpenKeyExが呼ばれる
(4) (2)で挿入されたコードにジャンプし、開くキーがDriver32ならmidi9のエントリを削除する (画像赤線)
(5) regedit.exeがDriver32のエントリを取得するがこのときmidi9は削除されているから表示されない
(6) 1秒ちょっと経った後winlogon.exeが再びmidi9のエントリを作成する (画像青線)
あと、(2)と(3)の処理のときにAppInit_DLLsなどのエントリのデータも書き換えられている。
(中略)
上記 (1) regedit.exe起動時にGumblarのDLLが挿入される について
Gumblar感染時に生成された不正なDLLは、regedit.exeだけでなく、ほとんど全てのプログラムに挿入される(実行後、当該プログラムのプロセスメモリにロードされるので実行ファイルが改ざんされるわけではない)。
上記 (2) DLLがZwOpenKeyを書き換えてRegOpenKeyExが呼ばれた場合に、挿入したコードにジャンプさせるようにする について
これもregedit.exeだけでなく、上記DLL挿入後、全てのプログラムで書き換えが行われると思われる。
よって、regedit.exeだけなく、他のレジストリエディタでもmidi9の隠蔽が行われると思われる。
実際にいくつかのレジストリエディタで確認したところ、上記(1)から(6)と同じ挙動が確認できた。
回復コンソールでレジストリをコピーして、それをregedit.exeに読み込ませたらどうなるのだろう?
「Driver32」という名前だったら見境なく隠蔽されるのだろうか?
kanariia.com blog - wordpressがクラックされたよ症状と対策まとめ
コメント
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/11/05/4676680/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。