2010-01-31

感染対策くらいかけよ!そっちの方が重要じゃねーのか?

感染された時点でなにされてもおかしくないのにFFFTPがどうのとか・・・小一時間

などと罵倒しつつ、俺は書くの面倒だから2chからコピペですます。亜種でたら対策も変わるので注意ね。

Gumblar/GENOWeb改竄ウイルス総合スレ3【8080】 http://pc11.2ch.net/test/read.cgi/sec/1263865118/

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティアップデートを欠かさないようにしましょう
脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Update更新XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
http://get.adobe.com/jp/reader/
・インストール後本体をアップデート
 ヘルプアップデートの有無をチェック
・Acrobat Javascriptオフにする
 編集環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
http://get.adobe.com/jp/flashplayer/
http://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
http://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
http://www.java.com/ja/
・Javaバージョン確認
http://www.java.com/ja/download/installed.jsp
■ QuickTime更新 (メールアドレス入力は不要。使っていないならアンインストール)
http://www.apple.com/jp/quicktime/download/
■ RealPlayer更新 (使っていないならアンインストール)
http://jp.real.com/?mode=basic
アップデート支援ツール】
■ アプリケーション脆弱性確認ツール
・MyJVN バージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
http://secunia.com/vulnerability_scanning/personal/Adobeの“Flash”と“Reader”のアップデート半自動化「Flash_Reader_Update」
http://www.forest.impress.co.jp/docs/review/20091020_323014.html
http://hide9999.web.fc2.com/
Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
http://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
http://pctrouble.lessismore.cc/boot/recover_registry.html感染確認・駆除ツール
アンラボ(v3daonol.exe)
http://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
http://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
http://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=htmlGENOウイルスまとめ
http://www29.atwiki.jp/geno/

【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script&gt;/*LGPL*/
<script&gt;/*GNU GPL*/
<script&gt;/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデート対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんAdobe Readerゼロデイ攻撃~今すぐ対策を
http://www.so-net.ne.jp/security/news/view.cgi?type=2&amp;no=2106
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください

セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済

上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストールサイト持ちは
安全なPCからのパスワードの変更を推奨します

GENOGumblarウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1)Microsoft UpdateWindows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す


※サイトを運営されている方は、さらに次のことも実施していただきたい。

(1)管理サイトのページなどに意味不明文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルス感染していないパソコンを使用して管理サイトパスワードを変更する

http://anond.hatelabo.jp/20100130202235

記事への反応 -
  • まとまった情報Thx わりあい早い段階でid:tailtamesさんが適切な突っ込みしてたのに、このツリーの最初の投稿している増田はとりあげないとかどういうこと思っていた。 id:tailtamesさんの...

  •  ■乗り換えても無駄    感染した場合、危ないのはFFFTPじゃなく、FTPクライアントソフト全体    SmartFTP、NextFTP、Filezilla、WinSCPもFFFTPと同じ意味で危険    今のところ大丈夫な...

    • × 「FFFTPが危ない」はデマ ↓ ○ 「FFFTPだけが危ない」はデマ

    • 正しい。 そして「FTPを盗聴して内容をネットに送信する」マルウェアは既にある。

    • 初期のGumblerからすでにスニファ機能持ってたと思う

    • パスワード暗号化して保管してくれるようなパスワード管理ソフトつかうのがいいんじゃない? あと、Twitter?ブコメ?で「FFFTPがオープンソースだからセキュリティホールがみつかった...

      • そういうことじゃなくて、FTPの仕様がパスワードを平文で扱うって話じゃないの? FTPソフトが送ったデータを横取りすればパスワードまるわかりなんだよ

        • それはもうサーバ管理者に 「FTPS(FTP over SSL)にしてくれ。 パスワード平文で流れるFTPなんて使ってられないよ」って訴えるしかないんじゃない? なんでこんなセキュリティ・セキュリ...

          • over SSL って大変じゃね? 証明書とかちゃんとしないと

            • 今さきFTP、暗号化でグーグル先生に聞いて、書いたからFTPS(FTP over SSL)とSFTP(SSH FTP)の違いがよく分かってない。 SFTPの方が楽ならそっちでもいいし。とくにFTPSにこだわりがあったわけじ...

            • HTTPSと違って不特定多数に向けたものではないから、証明書の管理はラフで良く、買ったりする必要はない。 例えば第四種オレオレ証明書を使ったFTPSとかでも良い。もともとSSH/SFTPはそ...

          • パスワード平文って書いたけど、Base64 でエンコードされてるような期がしてきた。 グーグル先生に聞いてみたけど、答えたどりついてないや。 エンコードなんて暗号じゃないし、特別...

    • FTP意外も危ない。 典型例はメールだ。 これも暗号化されてない。 しかも設定状況によってはパスワードも平文で流れてしまう。

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん