  |
はてなキーワード: ガンブラーとは
ガンブラー(GENOウイルス、8080)がさらに進化しとる・・・
「スクリプトを無効にしても防げない」、新たな「ガンブラー」出現
セキュリティ企業のラックは2010年3月3日、新たな「ガンブラー」攻撃を確認したとして注意を呼びかけた。正規サイトのWebページにスクリプトを埋め込む代わりに、悪質な設定ファイル(.htaccess)をアップロードすることで、同サイトにアクセスしたユーザーを、ウイルスが置かれたサイトへ誘導する。
.htaccessを書き換えられて、悪質サイトにオートリダイレクト。
悪質サイトを訪問しただけで、WindowsやFlash, Adobe Reader、Quicktimeの穴を突かれて、ウィルスに感染。
しかも未公表の脆弱性を突いたゼロデイ攻撃も普通にあるので、最新のパッチを当ててても、死亡する確率大。
JavaScriptを切ったくらいじゃ、どうにもならん・・・もう勘弁してくれよ・・・
仕事で使うんだから、Photoshopくらい正規品買えよ。ただ、CMYK機能やアルファチャンネル機能などは使ってないようだし、どうせだからこの際に安いPhotoshop Elementsを正規に購入してくれると助かるのだけど。
ところで、なぜそれが不正コピー品と言い切れるのかといえば
そんなあたりが理由だろうか。
ちなみにパソコン本体は自作ショップのBTOらしくて、Windowsは正規品のシールが本体横に貼ってあった。あと、特定のパソコンでMicrosoft Officeを構成するソフトのうちのExcelを使っている事は分かっている(本社にメール送信する経理日報などの作成のため。ただし自分には、それのパソコンに触る権限がない)
ほかにもこれに限らず、パソコンやネットセキュリティ面がいろいろな部分でいい加減な雰囲気の事務所なので、こういう会社は一度は痛い目に遭っておいたほうが、単なるパソコンオタクな一社員の自分が色々言うよりは効果的なのではと考えた末に、BSAへ告発する事にした。
メールフォームから投稿できるので、喋りがヘタレな方にもお勧め。
https://www.bsa.or.jp/
まぁ自分は近々退職するつもりなので、あとで会社がどうなろうと知ったこっちゃないけど。
【追記】
用事があって遅くなったが帰ってきた(23時20分)。会社の中の違法コピーって割とあるはずだと思うのだけど、意外と反響が多かったので少し驚いてる増田だ。
使ってるPhotoshopはバージョン6。渡されたシリアルと入っているものが「PWJ550R」で始まってるあたりくらいは覚えてる。だけど正直な話、確認のために上司が居ないかどうかビクビクするのは、本当に心臓に悪い。
それにしても、いまどき6って。最初にも書いたとおり、Elementsでも別に問題ないような作業しかしてないから、不自由はしてないんだろうけどさ。
あと経理でエクセルを使ってるパソコンは外とはつながってる。でもPhotoshopの入ってるパソコンはプリント作業くらいしかしない事もあって、ネットには繋げてないスタンドアロン状態だ。だから、告発が無ければ発覚もしない。
だったら感染する危険性は低いはずなのに、なぜウイルスバスターを今になってインストールしようとしたのかといえば、原因は例のガンブラーの蔓延だ。幸いにも今の事務所は感染を免れたものの、本社では感染したパソコンがあちこちで発生して大騒ぎになったらしい。
今回はバスターのインストールはできなかったけれど、感染してるかどうかの見分け方は自分は知っていたので、とりあえず感染はしてないはずという事を上司には報告しておいた。
それと、ウィンドウズXPのアクティベーションのことを気にする人もいるかもしれないが、そういった面倒ごとは基本的に本社のほうであらかじめ行なってるらしくて、使っている最中に何か不具合が出たという話は聞いてない。
おっと、忘れるところだった。BSAに報告した後、弁護士の人から次の日あたり連絡先に確認の知らせがくるよ。様子見のつもりでケータイのアドレス入れてたら、不意に知らないアドレスからメールが届いたもんで、勤務中にバイブ音が鳴ってびっくりさ。
【追記2】
http://anond.hatelabo.jp/20100210073719
ボリュームライセンスで不正はありませんでしたというオチは無しな
仮にそれで済んでくれるなら、それでいいとさえ思っている。
とにかく自分は、以前からパワハラやセクハラ・分煙無視な事務所の雰囲気にぼつぼつ嫌気がさしてきてたところだったので、このタイミングでコンプライアンス意識が無い人達にお灸を据えたかったのは事実。
ところで今になって考えてみたけれど、こういうアクションって見方を変えれば、会社への当て付けなのかもな。だけどそれでも、自分のやった事に後悔は無い。
次にBSAの担当の弁護士さんから連絡が来た時には、せめてこっそりと身を引きたい。そんな増田です。
【追記3】
増田を見てたら、過去にもBSAに告発した人が居たんだね。知らなかった。
http://anond.hatelabo.jp/20081027014245
【追記4】
解決したよ! ライセンス品の Photoshop Elements に入替え決定!
感染された時点でなにされてもおかしくないのにFFFTPがどうのとか・・・小一時間
などと罵倒しつつ、俺は書くの面倒だから2chからコピペですます。亜種でたら対策も変わるので注意ね。
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 http://pc11.2ch.net/test/read.cgi/sec/1263865118/
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』) JustExploitなどのインジェクションが流行しています 基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
【脆弱性を利用されやすいソフトウェア】 下記については必ずアップデートしてください 使用していないものはアンインストール推奨です ■ Windows Update / Microsoft Updateを更新 ・XP以下は念のためMicrosoft Updateに変更してアップデートする ■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール) http://get.adobe.com/jp/reader/ ・インストール後本体をアップデート ヘルプ → アップデートの有無をチェック ・Acrobat Javascriptをオフにする 編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す ■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!) http://get.adobe.com/jp/flashplayer/ http://www.adobe.com/jp/shockwave/download/alternates/#fp ・Flash Playerのバージョン確認 http://www.adobe.com/jp/software/flash/about/ http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm ■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール) http://www.adobe.com/jp/shockwave/download/alternates/#sp ■ Java Runtime Environmentを更新 (Javascriptとは違うので注意) http://www.java.com/ja/ ・Javaのバージョン確認 http://www.java.com/ja/download/installed.jsp ■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール) http://www.apple.com/jp/quicktime/download/ ■ RealPlayerを更新 (使っていないならアンインストール) http://jp.real.com/?mode=basic
【アップデート支援ツール】 ■ アプリケーションの脆弱性確認ツール ・MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/ ・Secunia Personal Software Inspector (PSI) http://secunia.com/vulnerability_scanning/personal/ ■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」 http://www.forest.impress.co.jp/docs/review/20091020_323014.html http://hide9999.web.fc2.com/
【Gumblar.x / Daonol(新GENO)ウイルスについて】 ■ Gumblar被害拡大中(1)(2)(3) http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092 http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093 http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094 ■ Windowsが起動しないときの復旧方法の一例 黒い画面にマウスカーソル (Win32/Daonol) http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには? http://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1 レジストリの修復 Windowsを使わずに修復してみる http://pctrouble.lessismore.cc/boot/recover_registry.html ■ 感染確認・駆除ツール アンラボ(v3daonol.exe) http://www.ahnlab.co.jp/download/vdn_list.asp マカフィー(stinger.exe) http://www.mcafee.com/japan/mcafee/support/announcement20091127.asp Kaspersky(KatesKiller.exe) http://support.kaspersky.com/faq/?qid=208280701 【旧Gumblar(GENO)ウイルスのまとめなど】 *** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります *** ■ Anubisレポート http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html ■ GENOウイルスまとめ http://www29.atwiki.jp/geno/
【8080系ウイルスについて】 メディアなどでは「ガンブラー(の亜種)」と紹介されていますが Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに <script>/*LGPL*/ <script>/*GNU GPL*/ <script>/*CODE1*/ などから始まる難読化したスクリプトが埋め込まれています 2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため 回避策としてAcrobat Javascriptのチェックを外してください 修正版の配布は2010年1月13日の予定です 他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を 利用していますがこちらはアップデートで対処できます 感染すると他のウイルスなどを呼び込むため非常に危険です ■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策を http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106 ■ 感染確認(2000,XP) あくまで現時点での確認方法であることに注意してください セーフモードから起動してレジストリエディタでRunエントリ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] から "sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp" "~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp" 等の登録があれば感染済 上記の登録情報を削除した上で C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe のファイルを削除すれば復旧しますが、亜種等で違うこともあるので 可能な限りクリーンインストール&サイト持ちは 安全なPCからのパスワードの変更を推奨します
GENO(Gumblar)ウイルス対処法。 行っておくべき事項を箇条書きにしました。 細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする (2)Adobe Readerを最新版に更新する (3) Adobe ReaderのAcrobat JavaScriptを無効に設定 (4) JRE(Java Runtime Environment)を最新版に更新する (5) Flash Playerを最新版に更新する (6) QuickTimeを最新版に更新する (1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。 攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。 Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。 Acrobat JavaScriptを無効にする方法は以下の通り。 (1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択 (2)「分類」の中の「JavaScript」を選択 (3)「Acrobat JavaScriptを使用」のチェックをクリア (4)「OK」ボタンを押す ※サイトを運営されている方は、さらに次のことも実施していただきたい。 (1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する (2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、 ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
