【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
|
|
|
2 :名無しさん@お腹いっぱい。:2009/12/27(日) 04:21:08
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic
3 :名無しさん@お腹いっぱい。:2009/12/27(日) 04:21:48
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/
4 :名無しさん@お腹いっぱい。:2009/12/27(日) 04:23:10
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
5 :名無しさん@お腹いっぱい。:2009/12/27(日) 04:24:11
【8080系ウイルスについて】
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
6 :名無しさん@お腹いっぱい。:2009/12/27(日) 04:25:02
●IPA 情報処理推進機構
Windowsの自動実行(オートラン)機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと!
ttp://www.ipa.go.jp/security/txt/2009/05outline.html
・Microsoft Updateは確実に適用しましょう (*「カスタム」選択更新で適用にエラーが無いか?は確認出来ます)
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します
・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン(Webブラウザ拡張機能)の内容は把握しておきましょう
・ソフトウェアやブラウザ(Webプラグイン類も)の最新版Updateとセキュリティ設定を常に心掛けましょう
(*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど)
(*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する)
・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい (*VirusTotal.comスキャンを活用)
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう (*危険な餌に釣られない用心を持ちましょう)
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう (*IDセーフ機能も活用)
●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了 2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
ttp://internet.watch.impress.co.jp/docs/news/20090724_304366.html
Windowsの自動実行(オートラン)機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと!
ttp://www.ipa.go.jp/security/txt/2009/05outline.html
・Microsoft Updateは確実に適用しましょう (*「カスタム」選択更新で適用にエラーが無いか?は確認出来ます)
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します
・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン(Webブラウザ拡張機能)の内容は把握しておきましょう
・ソフトウェアやブラウザ(Webプラグイン類も)の最新版Updateとセキュリティ設定を常に心掛けましょう
(*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど)
(*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する)
・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい (*VirusTotal.comスキャンを活用)
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう (*危険な餌に釣られない用心を持ちましょう)
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう (*IDセーフ機能も活用)
●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了 2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
ttp://internet.watch.impress.co.jp/docs/news/20090724_304366.html