べつになんでもないこと

あちこち書き足した。もう覚えていないｗ

Gumblarとガンブラー （Update）に
ガンブラー(/*Exception*/) vs Norton Internet Security 2010 - smilebanana
を追記。貴重な情報に感謝するばかり。(-人-)

---

ガンブラー再燃を契機にセキュリティの基本を見直そう - インタビュー：ITpro

　各社の正規サイト改ざんに使われた手口は調査中の段階ですが、盗まれたFTPサーバーのログイン情報が使われた可能性は低いと考えています。

（中略）

　一般的に、Web改ざんの手口はWebアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のガンブラー攻撃によるWeb改ざんにも、SQLインジェクションが使われた可能性があると推測しています

（中略）

記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクションによるものだという誤解を招く表現があったため、これを修正しました。 [2010/1/22 15:40]

　　　　 /: : : : : __: :/: : ::/: : :／/: : :/l::|: : :i: :l: : :ヽ: : :丶: : 丶ヾ　　　　＿＿＿
　　 　 /;,, : : : //::/: : 7l,;:≠-::/: : / .l::|: : :l: :|;,,;!: : :!l: : :i: : : :|: : ::､　 ／　　　　 ヽ
　　　 /ヽヽ: ://: :!:,X~::|: /;,,;,/: :／　 ﾘ!: ::/ﾉ　 l｀ヽl !: : |: : : :l: :l: ﾘ /　そ　そ　お　＼
　　　/: : ヽヾ/: : l/::l |／|||llllヾ,､　　/ |: :/ , -==､　l＼:::|: : : :|i: |　/ 　 う　う　 前　　|
.　　 /: : : //ヾ ; :|!: ｲ､||ll|||||::||　　　 ﾉノ　 ｲ|||||||ヾ､ |: ::|!: : ｲ: ::|/　 　な　思　が
　　 /: : ://: : :ヽｿ::ヽl |{ i||ll"ﾝ　　　 ´　　　i| l|||l"l　｀|: /|: : /'!/l 　 　 ん　う
　∠: : : ~: : : : : : : :丶ゝ-―-　　　　　 , 　ｰ=z_ｿ　　 |/ ﾊﾒ;, :: ::|.　　　だ　ん
　　 i|::ﾊ: : : : : : : : : : : ､ﾍﾍﾍﾍ　　　　 ､　　ﾍﾍﾍﾍﾍ /: : : : : ＼,|.　　　ろ　な
　　 |!l　|: : : : : : : : :､: ::＼　　　　､-―-,　　　　　　/ : : :丶;,,;,:ミヽ　　 う　 ら
　　　　　丶: :ﾊ､lヽ: :ヽ: : ::＼__　　｀~　"　　　　　 /: : ﾄ; lヽ）　　　ゝ
　　　　　　 ﾚ　｀|　｀､l｀､＞=ﾆ´　　　　　　　 ,　　_´ : :}　｀　　　／
　　　　　　　　 ,,､r"^~´"''''"t-｀r､ _　　-､　´ヽノ　＼ﾉ　　　／　　　　お ・
　　　　　　　,;'~　　_r-- ､__　　　　　~f､_>'､_　　　　　　　　 |　　で　　前 ・
　　　　　　f~　　,;"　　　　　~"t___　　　　ﾐ､ ^'t　 　 　 　 　|　　は　　ん ・
　　　　　 ,"　　,~　　　　　　　　　ヾ~'-､__　ﾐ_ξ丶　　　　　|　　な　　中 ・
　　　　　;'　　,ｲ　.. 　　　　　　　　　ヽ_　　 ヾ､0ヽ丶　　　　l　　　　　　　　　/
　　　　 （　;":: |:　:: ..　　　　　　　　　 .｀,　　 ヾ　丶 !　　　　＼＿＿＿＿／
　　　　　;;;; :: 入:: :: :: 　 　　　l｀ｰ-､　　 ）l　　 ヾ　丶
　　　　　"~､ｿ:: :い:: :　　　　　＼_　　ノ　,　　　 ヾ　丶

修正してもこの様だよ！

なるほど、バスターが探してるものと、私らが見つけて欲しいものが違うからこんなことになるんだｗ

いわゆるGENO系ウイルス感染してみた２ - smilebanana

今度は同じような環境でウイルスバスター2010をインストールして試してみたら

ウイルスバスターも無反応でした。

　 ,j;;;;;j,. ---一､ ｀ 　―--‐､_ l;;;;;;
　｛;;;;;;ゝ T辷iﾌ i 　 　f'辷jァ　 !i;;;;;　　バスターだってそのうち検出する・・・
　 ヾ;;;ﾊ　　　　ﾉ　　　　　　　.::!lﾘ;;rﾞ
　　 `Z;i　　　〈.,_..,.　　　　　　ﾉ;;;;;;;;>　　そんなふうに考えていた時期が
　 　,;ぇﾊ、　､_,.ｰ-､_',. 　 　,ｆﾞ: Y;;f.　　　俺にもありました
　　 ~''戈ヽ 　 ｀二´ 　　 r'´:::.　`!

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 - 2ch.net
記念Diff（笑）　「SQLインジェクションによるものだと推測」
「可能性」周りが増えたのかｗｗｗ


追記：
マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）
で、解析結果を詳細に解説しています。汚名返上と言ってよいかと思います。でも、
中に誰も（SQLインジェクションは）いませんよｗ

それはともかく
ウイルス対策インターネットセキュリティ G DATA

●GENOウイルスとは
GENOウイルスは、広くは「トロイの木馬型ウイルス」に属し、PDFやFlashにおける脆弱性を利用した、ドライブバイダウンロードと呼ばれるものの一種です。ウェブブラウザを通じて攻撃者がユーザーに悪意あるエクスプロイトコードをリダイレクトさせ、ウイルスを仕込んだサイトへと誘導させるもので、特に何かをクリックしたり、ダウンロードしたりしなくても、ただブラウザを起動し、あるウェブサイトを開いただけで仕組まれます。以下の、3段階があります。

ご覧の通り、当初GENOはトロイの木馬を指して言っていたと思うのですが、名前を付けなかったベンダーは攻撃手法の名前ととらえていたということでしょうか？

どちらにしても、ベンダーで命名が不統一だから混乱するのに、「ガンブラーウイルス」と呼ばれたり「現在の攻撃はGumblarではない」と言われたり、分かりやすくするために付けた名前で逆に混乱を引き起こすなど現象に対する命名の難しさを感じますがというトレンドマイクロの言い方はないと思うのですよ。

---

2010-01-22 - モスマン

・ 盗まれたFTPアカウントなどを使ってWebが改ざんされる攻撃の総称だよ派（シマンテック派）

↑なんか違う
「『ガンブラー』はウイルスの名前ではない」――シマンテックが解説：nikkeibp

別サイトに誘導してウイルスに感染させる攻撃手法のこと。同社では「ドライブバイダウンロード」と呼んでいて（図）、感染させられるウイルスの名称ではないという。

そうしてみると・ 改ざんされたWebページに挿入される/*GNU GPL*/で始まるような文字列のことだよ派はabastavast!派ですかねぇ。

スクリプトが変わると感染しちゃうとことか→ガンブラー(/*Exception*/) vs avast! - smilebanana


私は、新ガンブラーでも帰って来たガンブラーでもガンブラー・エースでもいいので、対策が違うものは呼び名を変えろ派ｗ

そうしないと、ＩＴ企業経営者とかネットビジネス指南とか偉そうなところが勘違い対策を書いて、それをありがたがって勘違い対策しちゃう人がいるでしょ。

ピンポイントでサイトを晒すと酷い目にあいそうなので↓生贄。
ウイルス感染をプロキシで防ぐ - 記者の眼：ITpro

実は，Gumblarの攻撃用サーバー（図2の不正なWebサイト（1））は一部の亜種を含め，「gumblar.cn」「martuz.cn」「zlkon.lv」の三つのドメイン名しか使われていない。つまり，この三つのサーバーにアクセスできなければ，感染せずに済むのだ。

記事の日付は2009/11/26。この1ヶ月前からGumblar.xがパンデミックしていて、この対策は役立たずなのだけど、ガンブラーとしか認識してない人はこれでいいと思っちゃうよね。

---

2010.01.23 土曜日 - UnderForge of Lack

しかし、Kasperskyはブロックルールの更新が早いのかな？　自分のTLDだけに、独自の何かを持ってるのかもしれない・・・
※Kasperskyはロシアの会社です。

マッチ（ガンブラー）ポンプ（カスペルスキー）ですね。わかりm　おや、こんな時間にだれだろう……


誤解されるような事を書いておいてアレですが、同じ事を書いてるからといって同じ思いと思ったら大間違いだよと（URLは伏せるけど）。
ロシアがマッチポンプくらいに受け止めてくれたら幸いです。
仮にカスペルスキーが何かをつかんでいたからといって、企業が無法者を逮捕できるわけではないのですから……ましてあの国では藪をつついてになりかねないでしょうしねぇ。
（ベンダーを疑うというのなら、自分で用意したコンパイラでコンパイルしたソフト以外、何も使えない話になると思うんだな）

この状況を利用して「乗るしかない。このビックウェーブに」だったらやだなぁと思ってるくらい。