【セキュリティ】マルウェア「Gumblar」のホーム・ドメインが復活 (09/11/09)
米国ScanSafeの研究員が、多機能マルウェア「Gumblar(別名:JSRedir-R)」が再び活動を活発化させる兆候をとらえたとして、警告を発している。
Gumblarは、Webサイトのハッキングにより埋め込まれた不正なスクリプトを通じて、そのサイトにアクセスしたPCに感染を拡大するタイプのマルウェアだ。
PCが感染すると、Googleの検索結果に攻撃者サイトへの誘導リンクが不正に紛れ込まされたり、FTPの認証情報が盗み出されたりするという。
今年3月に発見された際、Gumblarは「gumblar.cn」ドメインにあるサーバからの“指令”により動作するようになっていた。このドメインは発覚した直後に
オフライン(接続不能)になったが、ScanSafeのシニア・セキュリティ研究員マリー・ランデスマン(Mary Landesman)が11月5日付けのブログ投稿で明らかに
したところによると、少なくとも4日ころから復活しているという。
Gumblarを用いる攻撃者は、ハッキングしたWebサイトの中に、ひそかにiframe要素を埋め込む。ここには別サイトからエクスプロイト(攻撃コード)群が
読み込まれるようになっており、アクセスしたターゲットPCのハッキングを試みる。ターゲットPCが、Adobe Systemsの「Adobe Reader」や「Adobe Acrobat」の
セキュリティ・アップデートを実施していなければ、ドライブ・バイ・ダウンロード攻撃(ユーザーに気付かれることなくWebブラウザ経由でマルウェアをダウンロード
させる攻撃手法)を実行してマシンを乗っ取る。
攻撃に悪用されていると疑われるドメイン名は、しばしばドメイン名レジストラ(登録機関)によって利用停止状態にされることがある。一方で、マルウェアの
開発者側も、マルウェアに命令を与えるために利用しているドメインがブラックリストに掲載された時点で、すぐにドメインを変更することが多い。gumblar.cnは、
何らかの理由で利用停止措置が解除され、再び攻撃に使われるようになったものと思われる。
ランデスマン氏は、いまだにGumblarに感染しているWebサイトは、復活したドメインからの指令を受けるようになっていると見ている。さらに、Gumblarに
感染しているPCが、このドメインからマルウェアのアップデートを受け取る可能性もあると指摘している。
http://www.computerworld.jp/topics/vs/167069.html
Gumblarは、Webサイトのハッキングにより埋め込まれた不正なスクリプトを通じて、そのサイトにアクセスしたPCに感染を拡大するタイプのマルウェアだ。
PCが感染すると、Googleの検索結果に攻撃者サイトへの誘導リンクが不正に紛れ込まされたり、FTPの認証情報が盗み出されたりするという。
今年3月に発見された際、Gumblarは「gumblar.cn」ドメインにあるサーバからの“指令”により動作するようになっていた。このドメインは発覚した直後に
オフライン(接続不能)になったが、ScanSafeのシニア・セキュリティ研究員マリー・ランデスマン(Mary Landesman)が11月5日付けのブログ投稿で明らかに
したところによると、少なくとも4日ころから復活しているという。
Gumblarを用いる攻撃者は、ハッキングしたWebサイトの中に、ひそかにiframe要素を埋め込む。ここには別サイトからエクスプロイト(攻撃コード)群が
読み込まれるようになっており、アクセスしたターゲットPCのハッキングを試みる。ターゲットPCが、Adobe Systemsの「Adobe Reader」や「Adobe Acrobat」の
セキュリティ・アップデートを実施していなければ、ドライブ・バイ・ダウンロード攻撃(ユーザーに気付かれることなくWebブラウザ経由でマルウェアをダウンロード
させる攻撃手法)を実行してマシンを乗っ取る。
攻撃に悪用されていると疑われるドメイン名は、しばしばドメイン名レジストラ(登録機関)によって利用停止状態にされることがある。一方で、マルウェアの
開発者側も、マルウェアに命令を与えるために利用しているドメインがブラックリストに掲載された時点で、すぐにドメインを変更することが多い。gumblar.cnは、
何らかの理由で利用停止措置が解除され、再び攻撃に使われるようになったものと思われる。
ランデスマン氏は、いまだにGumblarに感染しているWebサイトは、復活したドメインからの指令を受けるようになっていると見ている。さらに、Gumblarに
感染しているPCが、このドメインからマルウェアのアップデートを受け取る可能性もあると指摘している。
http://www.computerworld.jp/topics/vs/167069.html
|
|
|
2 :名無しさん@お腹いっぱい。:2009/11/09(月) 23:26:41 ID:???
3 :名無しさん@お腹いっぱい。:2009/11/10(火) 02:36:13 ID:???
マルウェアがアップデートだとぉ!?
4 :名無しさん@お腹いっぱい。:2009/11/10(火) 16:16:45 ID:???
マルウェアってマルエツで買ったウェア(衣類)のこと?
5 :名無しさん@お腹いっぱい。:2009/11/12(木) 22:33:41 ID:???
うわつまんね
6 :名無しさん@お腹いっぱい。:2009/11/17(火) 16:23:14 ID:BjAuD4hV
「Gumblar」酷似ウイルス被害拡大、国内1250サイト以上改ざん
Kaspersky Labs Japanは16日、
今年の春に猛威を振るった「Gumblar(ガンブラー)」に酷似したマルウェア
「Trojan-Downloader.JS.Gumblar.x」による被害が拡大しているとして注意喚起した。
16日までに国内で1250以上のサイトが改ざんされ、マルウェアを仕込まれているという。
http://internet.watch.impress.co.jp/docs/news/20091117_329507.html
Kaspersky Labs Japanは16日、
今年の春に猛威を振るった「Gumblar(ガンブラー)」に酷似したマルウェア
「Trojan-Downloader.JS.Gumblar.x」による被害が拡大しているとして注意喚起した。
16日までに国内で1250以上のサイトが改ざんされ、マルウェアを仕込まれているという。
http://internet.watch.impress.co.jp/docs/news/20091117_329507.html
日本のgumblar配布サイトにしてマジコン販売業者であるところのGENOさんはそろそろ