アナログ
RSS  
<< 2010/01 >>
01 02
03 04 05 06 07 08 09
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

RSS

いろいろ2010/01/07 05:20

昨日の改竄

某掲示板に書かれていたもので多分今年に入って感染と思われるもの
www●spacecraft●co●jp (あっという間に改竄コードが取り除かれたw 確認した時は「GNU GPL」でした)
www●moffle●jp
【2010/1/6】

●一時システムの問題でホームページが正常にご覧いただけない状態がありました。

ご迷惑をおかけいたしました。現在は正常にご覧いただけます。
改竄と関係があったのでしょうか。改竄されたままなのですけどね。
キャッシュからみて1/3以降の改竄。

あとはニュース。

時事ドットコム:「ガンブラー」感染の恐れ=ローソン
同社によると、2009年12月28日午前11時21分から30日午前0時20分まで、ホームページの採用関連の部分が改ざんされていた。
そういえば、募集とか登録のページだけ改竄されてるのが他にもあったと思いますが、その部分だけ請け負ってる会社があるのでしょうか……だとしたら検索にかからないだけで、もっとたくさんありそう。

京王電鉄HPも改ざん被害 ウイルス「ガンブラー」 - MSN産経ニュース
「京王×高尾山」キャンペーンサイト。プログラムが不正に書き換えられたといい、利用者からの連絡で発覚した。

 昨年12月16日から今月4日までの間にサイトを閲覧した約1900人のパソコンがウイルスに感染した可能性がある。

告知のあったものを伝えるのも大切ですが、隠蔽するのが逃げ得などと思わせない報道であってもらいたいものです。

全てを報道するのは無理がありますけれど、上場企業は告知の有無に関係なく報道されるべきだと思います。


追記
ガンブラー:被害急増 有害サイトに誘導の新種ウイルス - 毎日jp
民主党東京都連などでホームページの改ざんが明らかになり
パソコンにインストールされている各種ソフトが最新版なら、改ざんされたサイトを閲覧しても有害サイトには誘導されない。 
        /  / /    |    /|   /:::/:.:.:.:.:.:.:|::::::
       /  〃 i     .::|   /:.:.|  |::l::|:.:.:.:.:.:.:.:|::::::
      ,゙  /|   |   .:::|. \|:.:.:.:|   |::l::|/:.:.:.:.:.:j/::
      ! ,' !  ::|    ::::|!. ,ィ|≧ゝl、_.;|::ィ|/_:._/ィllヘ
      l ,' │ ::|:..  ::::|く/ {ひlll|::|ヾ|:.N:.::´〃ひlllリ::
      ヾ  '、  |\  ::::|:.\\こソ:.:.:.:.:.:.:.:.:.:、、\こソ
           '、 :|  \ :::\:.:._,、__彡 _' -─ 、`゙ー=
  嘘だッ!    ヾ、/.::>:、:;ヽ、__  /ーァ''"´ ̄ ヽ
           / .::::::::::::::::ヘ ̄   {|::/       }
            /...::::::::::::::::::::::::::\  V      j}
Adobe Readerは最新でもダメじゃん。

民主党 東京都総支部連合会(Web魚拓)
 アドビ、ユーザーの関与なしに自動アップデートする仕組みを検討 - ZDNet Japan
 Arkin氏はThreatpost.comに投稿された記事の質疑応答で、「ユーザーはダウンロード後にそれをインストールするかどうかを選べるようにすることもできれば、単にアップデートしたことを通知するようにすることもできるし、完全に機能を無効にすることもできる。このようにユーザーに選択肢を与えることで、十分に管理された環境を維持しており、アップデートをインストールしたくない合理的な理由があるユーザーに対応することができる」と述べている。

選べることはいいことだ。でもデフォルトは強制アップデートで。
ただし再起動までは強制しないようにしないとうざがられて無効にされちゃうw
 企業で使える無償「ソフトウエア最新化状況検査ツール」を評価する - 情報漏えいと戦う現場から:ITpro
■「MyJVNバージョンチェッカ」動作環境
  • OS(32bit版のみ対象):Windows XP(SP2、SP3)/Vista
  • ブラウザ:Internet Explorer(6、7)、Firefox 3
  • JRE:Sun Java Runtime Environment(5.0, 6.0)
JRE必須な時点で願い下げなわけですが、Windows向けアプリをJavaで作るメリットがあったのでしょうか。

LinuxやMacに流用できるとも思えませんし……
 Firefox 3.6pre 互換性チェックの抑止 - alice0775のファイル置き場
Nightlyが3.6pre になったので extensions.checkCompatibility.3.6p を fslseにする。
aとbだけではなかったのか……追記と。

by puppet [セキュリティ] [AA] [Gumblar] [コメント(0)トラックバック(0)]

Gumblarとガンブラー (Update)2010/01/07 19:46

近頃ニュースでJR等に代表される改竄を報道がガンブラーと伝えているために、Gumblarの動向を観察している人達が困惑しているわけですが、セキュリティベンダーがそれらしい名前をつけてくれないこともあってすっかり定着してしまったようで……

ちょっとだけ違いを解説(素人がおこがましいですがw)してみると。
ちょっと分かりにくい……ですよねぇ。
では上から、ゴジラメカゴジラハリウッド版ゴジラくらい違うと言えばなんとなく伝わるでしょうか?

興味のない人には全部ゴジラですが、興味がある人からしてみれば、せめてハリウッド版は別枠で扱って欲しいくらいのもどかしさなわけです。

(追記:こんないい加減な説明ではなくて、8080系について夜間便 at 01/08 - UnderForge of Lackで詳しく解説されていますのでご一読をおすすめします。隠蔽機能に加え外からやりたい放題なので、簡単な感染チェックというのは難しいと分かると思います)

(追記2:
 サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況 - So-net
 相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」 - So-net
 もっと早く書いてくれれば、こんないい加減な説明しなかったのにw)

そんなのどうでもいいだろう?と思われるかもしれませんけれど
ガンブラーウイルスについての誤った情報にご注意ください。 - 無題なブログ
様々なメディアで今回の改ざんを「ガンブラーウイルス」(の亜種)として紹介してる影響か、昔の古い情報や対策方法をのせてしまってる個人ブログも結構多い感じです。誤った情報を鵜呑みにして被害に巻き込まれては困るので、いくつかピックアップしときます~。 :)

とまぁいろいろ困ることはあるのですよ。
ちなみにこのブログの対策にはGumblarに8080の対策も含めて書いてます。

ところでこのブログに駆除方法を探しにきている人もいるようですけれど

  / ̄ ̄ ̄ /  /''7 ./''7        / ̄/  /''7
 ./ ./ ̄/ /  /__/ / /  ____    ̄  / /
 'ー' _/ /   ___ノ /  /____/   ___ノ /
   /___ノ   /____,./         /____,./

   _ノ ̄/ / ̄/  /''7 / ̄ ̄ ̄/   / ̄/             /'''7'''7
/ ̄  /    ̄  / /    ̄ フ ./   /  ゙ー-;   ____   / / /._
 ̄/ /     ___ノ /   __/  (___  /  /ー--'゙ /____/ _ノ /i  i/ ./
 /__/   /____,./   /___,.ノゝ_/ /_/           /__,/ ゝ、__/

が一番です。

新Gumblar関連?真っ黒の画面にマウスカーソルだけとか
[8080系「GNU GPL」]新たなヴィルス Trojan Horse - siszyd32.exe - アフィリエイトで稼ぐためのサーバ構築スキル
など情報はありますが、既にそのウイルスが他のウイルスをインストールしてる可能性が高く、ウイルス対策ソフトに見つからないよう亜種がどんどん作られるので、ウイルス対策ソフトによる駆除は十分とは言えません。

クリーンインストールは手間がかかって遠回りのように思えるでしょうけれど、実際には復帰への最短距離なのです。

<追記>
(Update)感染していないかチェックする方法をまとめなおしてみました。
どれか1つ該当で黒判定(Gumblar.8080系)
  • パソコンを起動するとSecurity Toolという偽セキュリティソフトが起動する。
  • 「\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ」の中に次の名前のファイルを作成できない。
    「siszyd32.exe」「syszyd32.exe」「wwwpos32.exe」
    あるいはこれと同じ名前のファイルがある。
    (Windows 7などは「%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup」)
  • レジストリ
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    の中に
    sysgif32 REG_SZ C:\WINDOWS\TEMP\~TM1A.tmp
    といった具合に「.tmp」が登録されている

ファイル名は何度も変わっていますので、今後も変わると予想されます。
実際にはmsconfigを起動して、「スタートアップ」タグの「コマンド」の項にProgram files(あるいは Progra~1 など)配下以外のプログラムがあったら感染を疑いましょう。

特に、\WINDOWS\TEMP\がある場合はガンブラーに限らず感染の可能性大です。

Gumblar.xの判定はまた別です。

以下判断材料

GENOウイルススレ ★23
557 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/07(木) 22:11:00
>>555
最新のやつは
msconfigでスタートアップに次の2つが登録されてなければ感染はないと思う
タスクマネージャーで調べてどちらかが起動していてもまずい

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
※「\プログラム」の後ろに「\スタートアップ」が抜けています。

Web改竄のコードが変化
実行される時の名前が何になるか分かりませんけれど「_TM6.tmp」というものも。

一方で

いわゆるガンブラーに感染してみた4 「あ、感染した。」 - smilebanana
スタートアップにsyszyd32.exesiszyd32.exeが登録されるのを確認した例があります。

ガンブラー 感染動画 - smilebanana
前回:sysgif32 REG_SZ C:\WINDOWS\TEMP\~TM31.tmp のみ

今回:22001005 REG_SZ C:\DOCUME~1\ALLUSE~1\APPLIC~1\22001005\22001005.EXE

   CTFMON REG_SZ C:\WINDOWS\Temp\_ex-08.exe

   sysgif32 REG_SZ C:\WINDOWS\TEMP\~TM1A.tmp

ガンブラー(/*Exception*/) vs Norton Internet Security 2010 - smilebanana
えーっと、ちょうど/*Exception*/が発見されはじめた22日の0時頃

Aviraの実験をやってまして。

まぁ、結果としてはあっけなく/*Exception*/にやられちゃったわけですけど

  (ちなみにスタートアップフォルダに作られるファイルが、wwwpos32.exeに変わってました)

その時FFFTPに登録してあったサイトのデータは見事に改ざんされました。

ガンブラー 感染動画2の詳細 - smilebanana
増加ファイルと変更されたレジストリの赤字の分だけ抜粋
Documents and Settings\user\スタート メニュー\プログラム\スタートアップ\wwwpos32.exe
Documents and Settings\NetworkService\Application Data\anvkgp.dat
Documents and Settings\user\Application Data\avdrn.dat
WINDOWS\system32\config\systemprofile\Application Data\anvkgp.dat
WINDOWS\Temp\~TMD.tmp
Documents and Settings\All Users\Application Data\41561623\
Documents and Settings\All Users\Application Data\41561623\41561623.exe
WINDOWS\Temp\_ex-08.exe
Documents and Settings\user\デスクトップ\Security Tool.lnk
WINDOWS\system32\config\systemprofile\スタート メニュー\プログラム\Security Tool.lnk
Documents and Settings\user\Local Settings\Temp\~DFE176.tmp
WINDOWS\system32\drivers\zcgqju.sys

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"41561623"="C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\41561623\\41561623.exe"
"CTFMON"="C:\\WINDOWS\\Temp\\_ex-08.exe"

という有様で、一般の人向けの簡単なチェック方法がない状況と言えます。
(msconfigのスタートアップで「C:\Program Files~」でないプログラムは疑ってみるくらいですが、それすらハードルが高いですよねぇ)
</追記>
<追記3>
Gumblar/8080系が使用する file.exe を実行してみた ? にわか鯖管の苦悩日記
とても詳細な解析です。感染確認の役に立つかと。

マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティ ブログ
同じく8080系の詳細な解析です。
</追記3>

まあ一番は対策して感染しないことですけどね。

by puppet [セキュリティ] [戯言] [AA] [Gumblar] [コメント(0)トラックバック(0)]

そろそろブログパーツはやめた方がいいんじゃね?2010/01/07 22:11

Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ - ITmedia News
 感染の恐れがあるのは、2009年12月26日~10年1月6日に同ブログパーツを閲覧したユーザー。設置されていたブログ数やブログパーツの閲覧数、ウイルスの挙動などは「調査中」としている。
(中略)
 Amebaでは1月1日、芸能人ブログ450件のパスワードが流出しているほか、昨年12月には「Amebaなう」でクロスサイトリクエストフォージェリ(CSRF)の脆弱性を突かれた問題が起きるなど、セキュリティ関連の不祥事が続いている。

ノートン警察とは
ノートン警察とは、サイバーエージェントがシマンテックと共同で公開している、Blog サービス「Ameba」内に開設した、インターネットユーザーに対するセキュリティ意識の啓蒙を目的としたサイトです。

(中略)

「ノートン警察」では、ノートンのイメージキャラクターである中川翔子さんを起用し、「ノートン警察」から発信される情報を元に架空のサイバー犯罪の容疑者を捜査するという、ストーリー形式のユーザー参加型企画を実施し、実態が分かりにくいサイバー犯罪に対する理解促進を目指しています。

改竄されるとどうなるかの実演ですねw わかr(ry

とりあえずAmazon検索のスクリプトは外しておいたと。
嗚呼でもGoogle Analyticsは外してない。
つうかこれが逝ったら一緒に逝こうw

参考:
 fxwill.comのブログパーツ改竄
 【注意】Mooter フリー検索が改竄
 ドメインの更新忘れてブログパーツを貼ったサイトが危険な状態


今度はハウス食品 採用サイト改ざん、閲覧者1万2000人にGumblarウイルス感染の恐れ - ITmedia News
ハウス食品が1月7日、同社の新卒採用サイトが不正アクセスで改ざんされ、閲覧した1万2000人がGumblarウイルス亜種に感染した恐れがあると発表した。

 改ざんされていたのは、昨年12月15日午前1時~今年1月5日の午後3時まで。採用サイトを担当する制作会社のPCがGumblar亜種に感染、サイト管理用のIDとパスワードが盗まれ、サイトが改ざんされたという。
やっぱり、採用サイトを担当する制作会社そういうのがあるんだ。

検索でも採用とか派遣登録のような名前、住所、連絡先とかを入力するページだけ、同じ時期に改竄されたと思われる会社が数件あったんで、請け負った会社がやられたんじゃないかと思ってたんですよね。

by puppet [セキュリティ] [アサブロ] [Gumblar] [コメント(2)トラックバック(0)]