2010/01/10

Gumblar とは何か?

Gumblarは、Webサイトを改竄して、Adobe ReaderやFlash Playerの脆弱性を突いたJavaScriptコードを仕掛ける。Adobe ReaderやFlash Playerの最新版を用いていないユーザーが改竄されたWebサイトを閲覧すると、Gumblarに感染する。
Gumblarは感染したPCにおいて、通信を監視し、FTPサーバへのアクセスを検知するとそのIDとパスワードを盗んで攻撃者のWebサイトに送信するほか、検索結果を書き換えたり、不正なアプリケーションをインストールしたりする。

link: 【レポート】ウイルス「Gumblar」がJR東、ホンダ、モロゾフなど企業サイトを次々と改竄 | 経営 | マイコミジャーナル

攻撃対象はWebの管理者で、感染した管理者が更新したサイトを改変してしまうことがあるようです。その改変されたサイトを感染すると場合によってはGumblarやその他のウイルスによる攻撃を受け感染を広げてしまうかもしれないというものらしい。

改変されたサイトを観覧(脆弱性を抱えたAdobe Flash等をインストールしているWindows PC)
 ↓
感染したPCでFTP経由でWebサイトを更新(アップロードしたファイルを改変)
 ↓
さらにFTPのアカウントなどを第三者に勝手に送信

といっても、これ自体第一波が来たのは1年前のGENOウイルスと同型です。
ただ、ここ最近になって大手サイトなどの感染が明らかになってきています。

上のリンクの大手サイトだけでなく、国内のIT系企業として有名なAmebaを抱えるサーバーエージェントや知らない人のいないYahoo! Japanなど。
 

ヤフーでも9日、同社運営の「Yahoo!占い」内のコンテンツで不正アクセスによる改ざんを確認したと発表した。
改ざん期間は2009年10月27日 10:10~2010年1月8日 14:10。

link: 気づかぬうちにGumblar被害、「Yahoo!占い」でも改ざんが発覚 | ネット | マイコミジャーナル

問題のブログパーツは、「Norton Police City in Ameba」キャンペーンで提供された「容疑者捜査ブログパーツ」
改ざんされた期間は、2009年12月26日~2010年1月6日。

link: アメブロ提供のブログパーツで改ざん、閲覧者にウイルス感染の疑い - CA | ネット | マイコミジャーナル

非常に残念に思うが、どちらも長い期間にわたって放置され続けたという事。

 

Web管理者だけでなく、とにかくFTPを使う人は一読しておくべき
今話題の不正プログラム「ガンブラー」は、どんな振る舞いをするのか? | エンタープライズ | マイコミジャーナル