アナログ
RSS  
<< 2010/01 >>
01 02
03 04 05 06 07 08 09
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

RSS

Gumblarとガンブラー (Update)2010/01/07 19:46

近頃ニュースでJR等に代表される改竄を報道がガンブラーと伝えているために、Gumblarの動向を観察している人達が困惑しているわけですが、セキュリティベンダーがそれらしい名前をつけてくれないこともあってすっかり定着してしまったようで……

ちょっとだけ違いを解説(素人がおこがましいですがw)してみると。
ちょっと分かりにくい……ですよねぇ。
では上から、ゴジラメカゴジラハリウッド版ゴジラくらい違うと言えばなんとなく伝わるでしょうか?

興味のない人には全部ゴジラですが、興味がある人からしてみれば、せめてハリウッド版は別枠で扱って欲しいくらいのもどかしさなわけです。

(追記:こんないい加減な説明ではなくて、8080系について夜間便 at 01/08 - UnderForge of Lackで詳しく解説されていますのでご一読をおすすめします。隠蔽機能に加え外からやりたい放題なので、簡単な感染チェックというのは難しいと分かると思います)

(追記2:
 サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況 - So-net
 相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」 - So-net
 もっと早く書いてくれれば、こんないい加減な説明しなかったのにw)

そんなのどうでもいいだろう?と思われるかもしれませんけれど
ガンブラーウイルスについての誤った情報にご注意ください。 - 無題なブログ
様々なメディアで今回の改ざんを「ガンブラーウイルス」(の亜種)として紹介してる影響か、昔の古い情報や対策方法をのせてしまってる個人ブログも結構多い感じです。誤った情報を鵜呑みにして被害に巻き込まれては困るので、いくつかピックアップしときます~。 :)

とまぁいろいろ困ることはあるのですよ。
ちなみにこのブログの対策にはGumblarに8080の対策も含めて書いてます。

ところでこのブログに駆除方法を探しにきている人もいるようですけれど

  / ̄ ̄ ̄ /  /''7 ./''7        / ̄/  /''7
 ./ ./ ̄/ /  /__/ / /  ____    ̄  / /
 'ー' _/ /   ___ノ /  /____/   ___ノ /
   /___ノ   /____,./         /____,./

   _ノ ̄/ / ̄/  /''7 / ̄ ̄ ̄/   / ̄/             /'''7'''7
/ ̄  /    ̄  / /    ̄ フ ./   /  ゙ー-;   ____   / / /._
 ̄/ /     ___ノ /   __/  (___  /  /ー--'゙ /____/ _ノ /i  i/ ./
 /__/   /____,./   /___,.ノゝ_/ /_/           /__,/ ゝ、__/

が一番です。

新Gumblar関連?真っ黒の画面にマウスカーソルだけとか
[8080系「GNU GPL」]新たなヴィルス Trojan Horse - siszyd32.exe - アフィリエイトで稼ぐためのサーバ構築スキル
など情報はありますが、既にそのウイルスが他のウイルスをインストールしてる可能性が高く、ウイルス対策ソフトに見つからないよう亜種がどんどん作られるので、ウイルス対策ソフトによる駆除は十分とは言えません。

クリーンインストールは手間がかかって遠回りのように思えるでしょうけれど、実際には復帰への最短距離なのです。

<追記>
(Update)感染していないかチェックする方法をまとめなおしてみました。
どれか1つ該当で黒判定(Gumblar.8080系)
  • パソコンを起動するとSecurity Toolという偽セキュリティソフトが起動する。
  • 「\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ」の中に次の名前のファイルを作成できない。
    「siszyd32.exe」「syszyd32.exe」「wwwpos32.exe」
    あるいはこれと同じ名前のファイルがある。
    (Windows 7などは「%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup」)
  • レジストリ
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    の中に
    sysgif32 REG_SZ C:\WINDOWS\TEMP\~TM1A.tmp
    といった具合に「.tmp」が登録されている

ファイル名は何度も変わっていますので、今後も変わると予想されます。
実際にはmsconfigを起動して、「スタートアップ」タグの「コマンド」の項にProgram files(あるいは Progra~1 など)配下以外のプログラムがあったら感染を疑いましょう。

特に、\WINDOWS\TEMP\がある場合はガンブラーに限らず感染の可能性大です。

Gumblar.xの判定はまた別です。

以下判断材料

GENOウイルススレ ★23
557 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/07(木) 22:11:00
>>555
最新のやつは
msconfigでスタートアップに次の2つが登録されてなければ感染はないと思う
タスクマネージャーで調べてどちらかが起動していてもまずい

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
※「\プログラム」の後ろに「\スタートアップ」が抜けています。

Web改竄のコードが変化
実行される時の名前が何になるか分かりませんけれど「_TM6.tmp」というものも。

一方で

いわゆるガンブラーに感染してみた4 「あ、感染した。」 - smilebanana
スタートアップにsyszyd32.exesiszyd32.exeが登録されるのを確認した例があります。

ガンブラー 感染動画 - smilebanana
前回:sysgif32 REG_SZ C:\WINDOWS\TEMP\~TM31.tmp のみ

今回:22001005 REG_SZ C:\DOCUME~1\ALLUSE~1\APPLIC~1\22001005\22001005.EXE

   CTFMON REG_SZ C:\WINDOWS\Temp\_ex-08.exe

   sysgif32 REG_SZ C:\WINDOWS\TEMP\~TM1A.tmp

ガンブラー(/*Exception*/) vs Norton Internet Security 2010 - smilebanana
えーっと、ちょうど/*Exception*/が発見されはじめた22日の0時頃

Aviraの実験をやってまして。

まぁ、結果としてはあっけなく/*Exception*/にやられちゃったわけですけど

  (ちなみにスタートアップフォルダに作られるファイルが、wwwpos32.exeに変わってました)

その時FFFTPに登録してあったサイトのデータは見事に改ざんされました。

ガンブラー 感染動画2の詳細 - smilebanana
増加ファイルと変更されたレジストリの赤字の分だけ抜粋
Documents and Settings\user\スタート メニュー\プログラム\スタートアップ\wwwpos32.exe
Documents and Settings\NetworkService\Application Data\anvkgp.dat
Documents and Settings\user\Application Data\avdrn.dat
WINDOWS\system32\config\systemprofile\Application Data\anvkgp.dat
WINDOWS\Temp\~TMD.tmp
Documents and Settings\All Users\Application Data\41561623\
Documents and Settings\All Users\Application Data\41561623\41561623.exe
WINDOWS\Temp\_ex-08.exe
Documents and Settings\user\デスクトップ\Security Tool.lnk
WINDOWS\system32\config\systemprofile\スタート メニュー\プログラム\Security Tool.lnk
Documents and Settings\user\Local Settings\Temp\~DFE176.tmp
WINDOWS\system32\drivers\zcgqju.sys

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"41561623"="C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\41561623\\41561623.exe"
"CTFMON"="C:\\WINDOWS\\Temp\\_ex-08.exe"

という有様で、一般の人向けの簡単なチェック方法がない状況と言えます。
(msconfigのスタートアップで「C:\Program Files~」でないプログラムは疑ってみるくらいですが、それすらハードルが高いですよねぇ)
</追記>
<追記3>
Gumblar/8080系が使用する file.exe を実行してみた ? にわか鯖管の苦悩日記
とても詳細な解析です。感染確認の役に立つかと。

マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティ ブログ
同じく8080系の詳細な解析です。
</追記3>

まあ一番は対策して感染しないことですけどね。

by puppet [セキュリティ] [戯言] [AA] [Gumblar] [コメント(0)トラックバック(0)]

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
スパムがウザイので合い言葉を入れるようにしました。山と言えば川だろJK


コメント:

トラックバック

このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/01/07/4800653/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。