Movatterモバイル変換

■Gumblarと8080、その亜種について

ちょっと情報共有・アップデートしたい。現在流布しているのはGumblar亜種なのでGumblarの検出・対策が通用しないかもしれないそうで。

関係ある名前等

• Gumblar（Geno、JS-Redir）、8080（/*GNUGPL*/、/*CODE1*/、/*LGPL*/）、Daonol

仕組み？

サイトジャック（難読化JavaScript挿入、PHP、iframeで不正ページロードする仕掛け設置）

↓

ユーザーリダイレクト

↓

攻撃サイトで脆弱性攻撃（複数？）

↓

乗っ取り、パスワード盗聴など

↓

最初に戻る

攻撃方法について

• Adobeアプリ（Acrobat、Reader、Flash Player）の脆弱性（←1/12までReaderの脆弱性は未対応）
• Java Runtime Environmentの脆弱性
• WindowsのActiveX、GDI、USBドライバの各脆弱性
• QuickTimeの脆弱性
• WinAmpの脆弱性

もしかして何でもあり？

攻撃成功後の振る舞い

• FTPパスワード抜き取り（接続しなくとも取られる）
• 踏み台・ボット化
• 基本的に乗っ取りが出来るので可能性なら何でもあり

検出について

【予防】

• カスペルスキーが最先端？（全部検出できるかどうか不明）
• Avast!が防げないものがある
• その他ウイルス対策ソフトが検出しない情報あり

【感染後】

• 去年5月頃のGamblarと異なるためcmd.exe等を使ったチェックでは見つからない
• 今回はsiszyd32.exeをスタートアップに登録する（全部かどうか不明）。スタートアップフォルダとレジストリの両方に登録。（←この実行ファイルは通常では不可視ファイル設定とかでなく見えない事があるらしい、セーフモードでは見えるとか？置き場所は変わる可能性あり。スタートメニューのプログラムフォルダ下の場合も。）
• ウイルス対策ソフトをブロックする機能も？

対策

• Windows Update で各パッチを最新版まであてておく
• Adobe ReaderAcrobatFlash Playerを最新版に更新 orアンインストール
• ブラウザのJavaScript実行を切る
• Adobe Reader、AcrobatのJavaScript実行を切る
• Flash再生をブロック
• JAVA（JavaRuntimeEnviroment）を最新版に更新 orアンインストール
• QuickTime、WinAmpを最新版に更新 orアンインストール
• ウイルス対策ソフトを導入し最新版を維持する
• FWソフトで外向きの不審なアクセスをブロック

その他

• GumblarではWindows2000とXPを選別して攻撃していた？
• VistaでもUACにYes選択していくと感染する
• Windowsの64bit版、7の挙動は不明

その他教えていただければ幸いです。

Permalink |記事への反応(1) | 13:15

ツイートシェア

• 野菜炒めが野菜煮込みになってしまう私について24
• 悪口ではないけど悪口な奴ってある？32
• 昔上司にめちゃめちゃすごまれたことがあって42
• 兵庫県の第三者委員会における「３号通報該当性」の認定に感じる違和7
• (おまけ)労働基準監督官だった頃の思い出2
• 労働基準監督官だった頃の思い出8
• 三大同じ二文字以上のかたまりが三回続く単語16
• 精神科行ったら貴方は高IQで今まで何とかしてきたADHDだって診断された10

• 美味しそうな響きのスポーツを知りたい
• 快より不快に敏感な人生は難儀だ。 数..
• 　【追記しました。反応みんなありがと3
• マンモスを使った熟語2
• これって木蓮？https://x.com/tacoche/status/19..4
• noteみたいなサイトってもしかして意外と少ないの？2
• 信仰16