Gumblarウイルスの被害広まる、Yahoo! Japanでも改ざん発覚 102
ストーリー by hylom
あなたが閲覧しているサイトも感染しているかもしれませんよ……? 部門より
あなたが閲覧しているサイトも感染しているかもしれませんよ……? 部門より
「Gumblar(ガンブラー)」というウイルス(およびその亜種)によるWebページの改ざんが広まっているが、Yahoo! JapanでもGumblar亜種によるHTMLの改ざんが確認された。問題となったのは、「Yahoo! 占い」のコンテンツ「鏡リュウジの星に願いを」(ヤフーの発表)。
改ざんされた期間は2009年10月27日の10:10から2010年1月8日の14:10までとのこと。この期間中に対象のWebページを閲覧していた場合、Gumblar亜種に感染した可能性があるという。
Gumblarやその亜種による改ざん被害は昨年末から多く報告されており、So-net セキュリティ通信によるとハウス食品、京王電鉄、民主党、ローソン、ディズニー、本田技研工業、JR東日本など、大手企業や有名団体での感染例も多い。
Gumblarは感染したPCからFTPアカウント情報を盗み取ってWebサイトの改ざんを行うため、被害が広まっているようだ。/.J読者の皆様も注意していただきたい。
なお、マイコミジャーナルやSo-net セキュリティ通信によると、Gumblar亜種は複数存在しており、実行されるコードや攻撃に利用するURL、ダウンロードされるマルウェアなどが異なり、また亜種によって防御策や対処方法が異なるため注意が必要、とのこと。
Gumblerのおかげで (スコア:5, すばらしい洞察)
「怪しいサイトのリンクはクリックしない」とかいう無意味極まりない馬鹿げた「対策」の指南が絶滅してくれたのが嬉しい。
Re:Gumblerのおかげで (スコア:1, すばらしい洞察)
あとは、かたくなに「今まで○年使ってるけど怪しい体験をしたことがないからアンチウィルスソフトはいらない」という
生兵法極まりない馬鹿げた人の絶滅が残ってますね!
Re:Gumblarのおかげで (スコア:1, すばらしい洞察)
※サブジェクトがtypoってたので修正
どちらかというと「Windows UpdateとかAdobr ReaderやFlash Playerを最新にしてくださいとか面倒だし、ウイルス対策ソフト(ただし期限切れ)が入ってるからいいよね」という人を絶滅させてほしいです。
Security Essentialsでも期限切れの試用版よりは確実にマシですから何とかしてくださいほんとに。
Re: (スコア:0)
Re: (スコア:0)
Re:Gumblerのおかげで (スコア:1)
そりゃあ、家ではみんなと同じPCでみんなと同じサイトを見ていて、気がつけば印鑑や壺が家にごろごろしていて、
それなりにウイルス対策をしていたつもりだったのに自分が管理している会社の環境がGumblarにやられちゃって、
サービス残業で始末書を書きつつ泣きながら保守作業をしているからですよ。
Re:Gumblerのおかげで (スコア:1, 参考になる)
え?
「怪しいサイトのリンクはクリックしない」だけでOKなんて言ってる人いたの?
数ある対策の内の一つでしょ?
Re:Gumblerのおかげで (スコア:1)
>数ある対策の内の一つでしょ?
「怪しい」なんてハッキリしない基準ではどうにもこうにも。
一つとして数えることすらできないよって話では?
Re: (スコア:0, すばらしい洞察)
でも、基本的には自分の中の基準で判断するしかないでしょ。
生きてくってのはそんな曖昧判断の連続なんだからさ。
精度はともかく、「怪しい」って判断が自分で全く下せないなら
人間というか動物未満だと思うよ。
Re: (スコア:0)
>「怪しいサイトのリンクはクリックしない」とかいう無意味極まりない馬鹿げた「対策」の指南
いや、なくなると困る。
「クリックしたら個人情報をとられてしまいました」「いくら消しても消えません」系の泣き言を言ってくる輩がまだまだ多い。
なんでもかんでもGumblerのせいにはさせないからな。
Re:Gumblerのおかげで (スコア:2, すばらしい洞察)
貴方はそう解釈したんですか?
A:「道路の真ん中は危険、道路の真ん中を歩くな!」
B:「当たり前じゃん、何言ってるの?」
A:「歩道歩いていたのに事故にあった! 道路の真ん中は歩いてないのに!」
B:「何言ってるの? 誰が『道路の真ん中以外は安全』何て言った?」
という話だと思うんですが
『ガンブラー』はウイルスの名前ではない (スコア:5, 参考になる)
『ガンブラー』はウイルスの名前ではない
ウイルスをダウンロードさせる「攻撃」のこと。
とシマンテックさんがおっしゃってるらしいです。
http://itpro.nikkeibp.co.jp/article/NEWS/20100113/343113/ [nikkeibp.co.jp]
詳しいことは分からないので他の方のコメントに期待したいのですが、
今、目の前に現れた二つの見出しが
・『ガンブラー』はウイルスの名前ではない
・Gumblarウイルスの被害広まる
の2つだったので気になりました。
Re:『ガンブラー』はウイルスの名前ではない (スコア:3, すばらしい洞察)
itproの記事にあります通り、Gumblarウイルスってのは俗称だからです。
Gumblarがウィルスの名前ではありませんし、同様の動作をする亜種(それぞれ別の名前)がたくさんあります。
つまり、
シマンテック「お前ら、俺のところで gumblar とか調べても無駄だぞ! 見つからないからな!」
ってことじゃないでしょうか。
Re:『ガンブラー』はウイルスの名前ではない (スコア:1, 参考になる)
「いわゆるGumblar ウイルス」と呼べばOK?
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
http://www.jpcert.or.jp/at/2010/at100001.txt [jpcert.or.jp]
踏み台に注意(オフトピ-10) (スコア:1, おもしろおかしい)
ウイルスだとは知りませんでしたが、あれは一度かかると部屋中がガンプラだらけに
なるまで作り続ける恐ろしい病気として、当時より知られていました。
「踏み台にされる」ことを意味する「お、オレを踏み台にした?!」という流行語が
できたのも、その頃だと記憶しています。
Adobe Reader/Acrobatの対応更新プログラムが出ている (スコア:3, 参考になる)
Gumblar に対応したAdobe、Reader/Acrobatの更新プログラムがリリース [mycom.co.jp]されたようです。
プレスリリース:Adobe - Security Bulletin APSB10-02 Security Advisory for Adobe Reader and Acrobat [adobe.com](英語しか見つからなかった)
Re:Adobe Reader/Acrobatの対応更新プログラムが出ている (スコア:3, 興味深い)
この更新プログラム,Mac上でAdobe Creative Suite CS/CS2を使っている人は,入れてはいけません。
IllustratorやInDesignが起動しなくなります。
http://blogs.adobe.com/iwamoto/2010/01/acrobat.html [adobe.com]
Re: (スコア:0)
昔はWindowsの脆弱性がどうのこうのと散々MSをたたいてたけど
アドビは全く叩かれませんね。なんででしょう?
これって去年の今頃に流行ったいわゆるGENOウイルスってやつですよね?
一年かけてもまだ終息しないってアドビ大丈夫かよ
Re:Adobe Reader/Acrobatの対応更新プログラムが出ている (スコア:1)
Adobe ReaderはOSじゃないもの。
PDFリーダーなら他にもあるしいつでも乗り替えられるのも大きいかな。OSやRDBMSは
一度インストールして利用しはじめたら、途中で移行するのは大変だ。
確認方法は? (スコア:2, 興味深い)
Gumblar が蔓延してるよ、凄いよ、怖いんだよ、っていうニュースはよく見ますが、対策が分からないんですよね。
感染してるかどうかどうやったら分かるんでしょう?
Re:確認方法は? (スコア:2, 参考になる)
(1) 導入済のセキュリティソフトで検査。
(2) 他社のオンラインスキャンで検査。
(3) (1)(2)で駆除できない怪しいファイルが見つかったらVirus Total [virustotal.com]で検査。
(4) (3)で検出した他社メーカーが無料版・体験版(駆除機能付)を提供していたら、それで駆除を試みる。
(5) (1)のメーカーが信用できなければ乗換を検討。
セキュリティソフトメーカーの真価が試されています。
匠気だけでは商機なく、正気なだけでは勝機なし。
サーバ側の確認方法は? (スコア:2)
当方は個人でVPS借りてWebサーバ立てているんですが、そこにGumblarが感染しているのかいないのか
確認する方法って……言及しているトコロがないんですよ。
個人のPCにGumblar入っているかどうか確認する手段についての情報はあるんですけどね。
/.Jのアニキの皆さま、ご存じありませんでしょうか?
ちなみに自分はclamavで/からウイルスチェックかけて、かつhtdocs以下を一旦ローカルPCにダウンロードして
PC側のウイルスチェッカーでスキャンしました。
一応驚異の検出は0件だったけどそれだけでOKなのだろうか?
ちなみにファイル転送にはずーっとWinSCPを使っています。
サーバのOSはlinuxです。
---- ばくさん!@一応IT土方
Re:サーバ側の確認方法は? (スコア:2)
> 驚異の検出は0件
大自然の驚異っつーか (^^)
みんつ
Re:サーバ側の確認方法は? (スコア:1)
Gumblarの亜種によって追加されるJavaScriptの記述が異なるため、容易な検出の方法がないということだと思います。
私が調べた限りですが、ウェブサーバ上に存在するバイナリ以外のファイルのリストを作成し、Gumblarが記述するJavaScriptにある、'function'、'eval'、'unescape'が1行に存在するファイルを検索して見つけ出しました。
具体的には、
$ find "ウェブコンテンツファイルへのパス" -type f -iname '*.html' -o -iname '*.htm' -o -iname '*.php' |xargs grep 'unescape' |grep 'eval'|grep 'replace'
といったようなコマンドを実行しました。この手法で私は顧客に提供しているサーバを調査したのですが、2つほど発見することが出来ています。
もちろん、この方法では、Gumblar以外のJavaScriptもかかりますので、検索結果で得たファイルを目視する作業が発生します。
#特に".js"を対象とすると、確認が大変です。Xoops関連のjsは多く誤検知します。
上記で発見したGumblarウィルスによって書き換えれらたファイルに関するFTPログをみた所、海外のIPアドレスでFTPログインし、[index.html]などのファイルをダウンロードし、すぐにアップロードし直すという挙動が見られました。
このため、[xferlog]から、同一のファイルに対して、ダウンロード、直後にアップロードしているパターンを見つけ、対応しております。
Gumblarウィルスによって書き換えれらたファイルを発見出来たとはいえ、この手法の有効度も不透明で、不安はあります。
自分で管理しているサーバ、内容を把握しているウェブサイトであれば、FTPログインをIPアドレスで制限するとか、そもそもFTPを空けないとかもっと簡単な方法があるかと思います。
他の皆様は、特に自分で好きなように出来ない顧客のサーバを運用されている方は、どう対処されているのか気になります。
Re:確認方法は? (スコア:1)
感染してるかどうかどうやったら分かるんでしょう?
亜種が多すぎて、感染しているかどうかの確認が難しい気がします。
msconfig 等で起動時に走っているプログラムを調べるのがいいのかな?
とは思っていますが、これも完璧じゃないですし。
Re: (スコア:0)
考えて調べれば判ると思います。
Re: (スコア:0)
いやそれが、亜種いっぱいで情報が錯綜しているので簡単には判らないのも問題です。
もし判ったんだったら、その良いサイトを教えてもらえると流行終熄に役立つと思います。
Re: (スコア:0)
ちょっとググってみました。
ここ [hatena.ne.jp]とかどうでしょう?
Google Chromeだけ除外 (スコア:2, 興味深い)
> if(
> (u.indexOf("Chrome")<0)&&(u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)
というように、Google Chromeの場合だけ攻撃スクリプトを読みこまないように
されていました。
Vista/Win7を除外しているのは、UACが発動してバレルからだと思いますが、
Google Chromeを除外している理由がわかりません。
当初はChrome除外はしていなかったようですが、いつの亜種からか
Chromeを除外するようになったようです。
対策 (スコア:1, 興味深い)
じゃ、FTPポート塞いで、sshのみにしているサーバなら大丈夫なの? 今時当たり前すぎる措置だけど、流行っているとこみると、これだけじゃダメなのかな?
Re: (スコア:0)
>FTPポート塞いで、sshのみにしているサーバなら大丈夫なの?
>今時当たり前すぎる措置だけど
何を根拠に。
FTPのみを開放しているサイトなんて、いくらでもあるでしょう。
SSHだとchrootが面倒とか、もろもろの理由で。
おいおい (スコア:1, 興味深い)
> Gumblarは感染したPCからFTPアカウント情報を盗み取って
この勘違いがここまで感染を広めた理由の一つじゃないの? 感染したPCと同じセグメント上でFTP使ったらアウトだよ。
Re:おいおい (スコア:3, 興味深い)
ソース2chだけど、放置状態だったウェブサイトを改竄された話がありました。
FFFTPの設定(iniファイルかレジストリかは不明)からアカウントを窃取されたとか。
解析したわけじゃないけど、アカウント窃取の手段を複数持っていることは十分考えられます。
設定情報読み取り、キーロガー、パケット監視、いずれも等しく注意する必要があるでしょう。
SFTPでもパスワード認証ならWinSCP等クライアントの設定からアカウントを盗まれることがあり得ます。
Re:おいおい (スコア:1)
「認証情報を窃取してよそから不正侵入」という点自体もC&Cだったら変え放題ですよね。
例えばFTPクライアントのファイル読み取り動作をフックしてコンテンツ書き換えちゃうとか、感染PC内のボット自身がFTPサーバにアクセスするとか…
というか、大手企業のWebサーバでこんなに接続元制限していない所が多いなんて正直信じられない。
Re: (スコア:0)
FFFTPのアカウント設定はレジストリに記録されている(=FFFTPのインストール
パスに依存しない)ので比較的抜きやすいでしょうね。
Re: (スコア:0)
被害にあった企業はFTP使ってるのもさることながら、なぜFWで接続元確認してないのかとか、色んなことがズサンな企業なんだなーと思ってます。
で、 (スコア:1, すばらしい洞察)
どんな悪さをするウイルスなの?(クライアント的に) [srad.jp]って情報が相変わらず希薄なのはなにかの罠ですか?
・有名サイトがXX月YY日からWW月ZZ日まで改竄されていました
・ふーん、じゃあ、その間の情報はアテにならないのね
で、終わっちゃいがちな気がするのですが。
「こういう被害があって、お前たちにもこんな不利益があり得るからとりあえずアレコレしておけ」
って情報がほしいんですが。
Re:で、 (スコア:1)
改ざんされたページを閲覧するとウィルスがPCにダウンロードされ、そのPCの中のFTPの情報を使って、そのPCを使って管理しているWebサイトのページを改ざんするということで、サーバーとクライアントに交互に感染していくウィルスみたいですが正しいでしょうか?
すると、制作会社とか、PCを使ってWebコンテンツを開発しているところが、Webサイトごとやられる、というのは理解できますが、ホームページもblogとか、google siteなどで作っている一般のユーザーでは、ウィルスをダウンロードしても、それ以上は影響がないように思いますがどうでしょう。最近、AppleのiWeb+mobileMeでWebサイトを作りましたが、これもアップロードにFTPを使っていないとすると、この手の攻撃にもちょっとだけ丈夫かも知れないと思いました。一方、使っている技術が、ftp、JavaとかAdobe Readerみたいな、どの機種にもある物と言われると、本当にwindowsしか感染しないのか心配になりますが。
Re: (スコア:0, フレームのもと)
> って情報がほしいんですが。
それはいろんなところで書かれているのですが、
その程度のことを自分で調べられないような人は
多分ここに書かれていてもやらないだろうから
書くだけ無駄無駄無駄ァーーッ。
簡単に説明すると、とりあえずPCを窓から投げ捨てればいいんじゃないかな。
Re: (スコア:0)
さすが127.0.0.1!オレたちに出来ないことを平然とやってのける!そこにシビレる!あこがれるゥ!!
Re: (スコア:0)
Re:で、 (スコア:1)
しかし、問題は他にもたくさんあり、sftpサービスを積極的に提供しない
サーバー屋やISP、セキュアな通信手段を強く求めようとしない愚かなユーザー、
sftp(もしくはscp)を使うよう声高に薦めないセキュリティ専門家、
それぞれに問題があり、全てがからんで身動きが取れなくなっている。
だから、奇特などこかの誰かが修正BSDライセンスで公開されているFFFTPのソースコードを
いじって、sftpとscpの機能をつけて例えばFFFFTPと名前をつけて公開しても、
一部の人は乗り換えるかもしれないけど、状況はほとんど変わらない。
(※いやFFFFTPは紛らわしいからまずいって)
状況を変えようと思ったら、たとえばOP25Bのように、サーバー屋やISPに影響力のある
公的団体が音頭を取って、ftpを廃止しsftp/scpに移行するように、あるいはftpを
廃止しないまでも限定的に提供する状態にもっていく段取りをつけて、何年かかけて
やらないといけないだろうね。ソフト1つ槍玉にあげて攻撃するだけじゃどうにもならない。
Re: (スコア:0)
クライアントソフトの1つに原因を求めるのもどうかと。
どれだけスパムのせいで不便になっても、電子メールがなくならないのと同じことでは。
人が戦争みたいにばんばん死ぬくらいでないかぎり、FTPは使われ続けるでしょう。
Re: (スコア:0)
一日報告書と始末書作成で潰された莫迦が近くに居ますが……
まあ、簡単に言えば、
「どんなマルウェアが送り込まれて何をされてもおかしくないから、とりあえず
アップデートできるものは片っ端から全てアップデートしておけ」
ってところかな。
# 感染者のPCを明日武装した※国海兵隊が押収に来ても驚きません。
Re: (スコア:0)
仕事でJavaを使ってるんですが、未だに1.4で動いてるシステムの保守のため、
開発環境に古いJavaを入れざるを得ない状況です。
こういう人、/.Jには多いと思うんですが皆さんどうされてますか?
Re:で、 (スコア:1)
仕事でJavaを使ってるんですが、未だに1.4で動いてるシステムの保守のため、開発環境に古いJavaを入れざるを得ない状況です。
こういう人、/.Jには多いと思うんですが皆さんどうされてますか?
VirtualPC 上にその古いJava環境を構築して、そっちで保守。かな。
多少面倒ではありますが、保守でしたら十分かと。
Re: (スコア:0)
情報があてにならないだけじゃなく、その間にそのホストからダウンロードしたファイル(閲覧したページ)はウイルスを含んでいるかもしれず、その間にそのホストからへ送信した情報は記録されているかもしれないってこと。
しかし・・・ (スコア:0)
ところで (スコア:0)
# 絶対安全なんてものは存在しないと思っているのでAC
# あと知識も絶望的に足りないのでA(ry
Re:ところで (スコア:1)
あなたが閲覧している/.-jも感染しているかもしれませんよ……?部門