それなりブログ

とあるWebエンジニアのそれなりのブログ、JavaScript/Node.js/Python/PHP/ゲーム作成 など

Gumblar(GENOウィルス)亜種のQA風まとめ

1/5に担当のWebサービスのために調べました。
大事なところをQA形式で残しておきます。

Q. URLを踏んだだけで感染するのですか?

A. 現在だと、その通りです。

いくつか感染ルートがある中のひとつに、Adobe Reader の脆弱性を突いたものがあって、
これが悪いことに、最新アップデートをしても防げない状態です。
(いわゆるゼロデイ攻撃状態)

Adobe Reader をインストールしてなかったり、
オプションをいじってる人は大丈夫な可能性もあるけど、
ほとんどの人が条件に当てはまると思います。

引用) http://pc11.2ch.net/test/read.cgi/sec/1259607683/

405 :名無しさん@お腹いっぱい。:2010/01/06(水) 01:32:24
今北さん用、GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す

Q. 感染の確認方法は?

A. 現在は、ウィルススキャン以外は手軽に確認できる方法がないようです。

多分、各社のウィルス対策ソフトはもう対応してると思うので、とりあえずは手持ちの奴でどうぞ。
イマイチ信用ならないなら、今回は対応が良さそうなKasperskyが、以下の無料サービスをやっているので、合わせてやっとけばいいかなと思います。

オンラインスキャン(配布はnifty):
http://www.nifty.com/security/vcheck/index.htm
クライアントインストール型ウィルススキャン:
http://support.kaspersky.com/faq/?qid=208280701

Q. 感染してたらどうする?

A. 一般的な対処以外は、特に無いよう(再インスコや駆除)です。
または、神田川にPCを投げ込むといいと思います。

特にやってはいけないことは、「FTPでWebサイトを更新する」こと。

Q. Gumblar(ガンブラー)の「亜種」?「GENOウィルス」「8080」??

A. まず、「Gumblar」は公式のウィルス名です。
その俗称が「GENOウィルス」で、つまり二つは同じことを指してます。

ただ、上記は今年の春に流行ったもので、厳密には今回のものとは違います。
で、とりあえず公式名が無いので、今回のものは「Gumblar亜種」と呼ばれているようです。
で、「8080」「8080系」ってのが、その「Gumblarの亜種」の俗称です。

引用)http://pc11.2ch.net/test/read.cgi/sec/1259607683/

524 :名無しさん@お腹いっぱい。:2010/01/07(木) 13:01:24
>>513
>>519 のとおり。補足すると
LACが11月に
【注意喚起】Gumblarおよびその亜種に関する大量の感染事例について
ttp://www.lac.co.jp/info/alert/alert20091119.html
を出し(これはGumblar.x)、その後「続報」として(一部使いまわして)
【注意喚起】Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認
ttp://www.lac.co.jp/info/alert/alert20091225.html
を出した(これは8080)。
JR東日本やホンダは(IPAやJPCERTでは具体名を出していないのでこれを元に)
「Gumblar亜種」との告知を作り、新聞社は「亜種」を外し、後はみんなコピペ、だと思う。

ちなみに、”8080″の由来は、
ウィルス設置サイトへアクセスする際のポートが8080だからです。

自分が実際のJSのスクリプトを見て確認したURLだと以下だった。

microsoft-com.sendspace.com.google-co-jp.superaguide.ru:8080/(下に続く)
wikipedia.org/wikipedia.org/www.net.cn/google.com/tomshardware.com/
※リンクとして踏んじゃだめですよ!
※URLは色々なパターンがあるみたい

Q. どのニュースが「亜種」によるもの?

A. ネットの多分こうだろうという意見だと

国内60サイト以上が改ざん、Gumblar亜種が台頭か
http://headlines.yahoo.co.jp/hl?a=20091023-00000030-zdn_ep-sci

・・・と、この頃から始まっており・・・

JR東サイト改ざんウイルス、ホンダなども被害
http://headlines.yahoo.co.jp/hl?a=20100105-00000745-yom-soci
ローソンの採用サイト改ざん 閲覧者にGumblarウイルス感染の恐れ
http://www.itmedia.co.jp/news/articles/1001/06/news083.html

・・・は、既に二次三次被害になってるのでは?

という感じです。

Q. 参考サイトは?

A. 今は、IPALACもまとまった記事を出してくれてないようなので、
2chの関連スレが良さそうです。

GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/

Q. 感染状況を肌で感じたい!

A. Bingで “*/ try{window.onload” と検索すると、
(おそらくは)感染しているサイトの一覧が出て、被害状況を肌で感じ取れます。

※検索結果のリンクは、絶対踏んではだめ!

以上

モッタイナイマインドで、記事にしてみました。

3 Responses to “Gumblar(GENOウィルス)亜種のQA風まとめ”


Categories

Archives