■Gumblarと8080、その亜種について

ちょっと情報共有・アップデートしたい。現在流布しているのはGumblar亜種なのでGumblarの検出・対策が通用しないかもしれないそうで。

関係ある名前等

• Gumblar（Geno、JS-Redir）、8080（/*GNU GPL*/、/*CODE1*/、/*LGPL*/）、Daonol

仕組み？

サイトジャック（難読化JavaScript挿入、PHP、iframeで不正ページロードする仕掛け設置）

↓

ユーザーリダイレクト

↓

攻撃サイトで脆弱性攻撃（複数？）

↓

乗っ取り、パスワード盗聴など

↓

最初に戻る

攻撃方法について

• Adobe アプリ（Acrobat、Reader、Flash Player）の脆弱性（←1/12までReaderの脆弱性は未対応）
• Java Runtime Environmentの脆弱性
• WindowsのActiveX、GDI、USBドライバの各脆弱性
• QuickTimeの脆弱性
• WinAmpの脆弱性

もしかして何でもあり？

攻撃成功後の振る舞い

• FTPパスワード抜き取り（接続しなくとも取られる）
• 踏み台・ボット化
• 基本的に乗っ取りが出来るので可能性なら何でもあり

検出について

【予防】

• カスペルスキーが最先端？（全部検出できるかどうか不明）
• Avast!が防げないものがある
• その他ウイルス対策ソフトが検出しない情報あり

【感染後】

• 去年5月頃のGamblarと異なるためcmd.exe等を使ったチェックでは見つからない
• 今回はsiszyd32.exeをスタートアップに登録する（全部かどうか不明）。スタートアップフォルダとレジストリの両方に登録。（←この実行ファイルは通常では不可視ファイル設定とかでなく見えない事があるらしい、セーフモードでは見えるとか？置き場所は変わる可能性あり。スタートメニューのプログラムフォルダ下の場合も。）
• ウイルス対策ソフトをブロックする機能も？

対策

• Windows Update で各パッチを最新版まであてておく
• Adobe Reader Acrobat Flash Playerを最新版に更新 or アンインストール
• ブラウザのJavaScript実行を切る
• Adobe Reader、AcrobatのJavaScript実行を切る
• Flash再生をブロック
• JAVA（JavaRuntimeEnviroment）を最新版に更新 or アンインストール
• QuickTime、WinAmpを最新版に更新 or アンインストール
• ウイルス対策ソフトを導入し最新版を維持する
• FWソフトで外向きの不審なアクセスをブロック

その他

• GumblarではWindows2000とXPを選別して攻撃していた？
• VistaでもUACにYes選択していくと感染する
• Windowsの64bit版、7の挙動は不明

その他教えていただければ幸いです。

Permalink | 記事への反応(1) | 13:15

ツイートシェア