パンデミック (再浮上)

■本家へリザルトをアップしようとしたらFTPの調子が悪い。なにも設定変えてないのに。もしやと思って、WindowsからLinuxに変えてWebで調べてみると、どうやらコンピュータウイルスが影響しているようだった。それでネットから切り離しWindowsを起動して、感染しているかどうかの確認(特定のファイルハッシュを調べる)をしたところ、見事にビンゴだった。

GENOウイルスまとめ
UnderForge of Lack » Zlkon, Gumblar 問題に関して
so-net セキュリティー通信
FFXI(仮) gumblar.cn

いわゆるgumblar.cnウイルスと呼ばれるもので、感染するとPCのインターネット通信を監視し、FTP通信 (webサイトのファイルをサーバーへアップロードしたりするプログラム) のユーザーIDやパスワードを盗み攻撃者の元へ送信。その後、盗み出したIDとパスワードを使って、そのユーザーが使っているサーバーへFTPで接続し、webサイトのHTMLファイルへ攻撃用のJavascriptコードやiframeコードを追加して書き換える。そしてそのサイトを閲覧した第三者が、攻撃用に挿入されたコードで、不正に改変されたAcrobatのPDFやSWFファイルをダウンロードさせ、そのファイルを脆弱性の修正されていないAdobe ReaderやFlashで閲覧・実行するとウイルスが発病し、Windowsシステムファイルを書き換えてPCに感染する。以下ループ。

このウイルスは以前に流行ったGENO(zlkon)ウイルスの改変版(亜種)で、攻撃可能なプラットホームをねらい撃ちにしているらしい。Windows 2000/XP/Server 2000 の Internet Explorer 6 であることを調べて実行するようになっている。このウイルスの恐ろしいところは、攻撃コードを仕込まれたwebページを閲覧しただけで感染するというところだ。大きく報道されていないが、元種のウイルスを含めて、先月から数多くの企業サイトなどが被害にあっている。

困ったことにこのウイルスの挿入する攻撃コードは日替わりで難読化されており、並みのアンチウイルスソフトでは検出できないらしい。また、ウイルスに感染したシステムファイルを見つけることができるのもごく少数のソフトで、しかも駆除方法がないためお手上げらしい。ウイルスの名称もまだ決まっていないようである。数少ない検出可能なソフトとしては、カスペルスキーのオンラインスキャンがある。

カスペルスキー
・カスペルスキーが検出したウイルス名:Trojan-PSW.Win32.Kates.c と Trojan.Win32.Agent.cglu

今日の朝、この攻撃コードが仕込まれている大手サイトを見つけてしまった。管理者に連絡してすぐに修正されたが、漏れ聞くところによると、どうやらPCがこのウイルスに感染している症状が見られるようだ。

幸い、自分のサイトはまだ改変された形跡がない。サイト全体が自作のcgiで運用されていて静的HTMLファイルはほとんど使っていないため、攻撃コードを追加できないのかも知れない。おそらく攻撃は自動ロボットプログラムによるものと思われる。

このウイルスの感染を防ぐにはブラウザのJavascriptやFlashをOFFにするのが手っ取り早いが、最近はリッチなユーザーインターフェースやajaxなどの非同期通信を行うため、JavascriptやFlashをOFFにしてしまうとwebページがまともに見れない場合が多い。近年、これらのユーティリティーやプラグインモジュールにおいて、過去のCPUでは実行できない命令が含まれていてシステムがクラッシュする事例が続いていたため、やむなく古いバージョンを使っていたため感染してしまったようだ。

直接感染の原因となっているAdobe ReaderやFlashの脆弱性が修正されたバージョンが、つい最近リリースされている。該当するプラットホームの方々は、すぐにでもバージョンアップしておいた方がいい。

Adobe ReaderとAcrobatに危険な脆弱性、アップデートの適用を：ITpro
Adobe Flash Player
Adobe Acrobat Reader

不幸にしてこのウイルスに感染してしまった場合、現在のところ有効な駆除方法は見つかっていない。というのも、Windowsのシステムファイルのいくつかを上書きしてしまうからだ。WindowsXPならシステムの復元機能で元に戻せるかもしれないが、確実に駆除するにはWindowsの再インストール、上書きではなくてまっさらな状態からクリーンインストールするしかない。

さらに、ウイルスに感染した状態でFTPでwebサイトをアップデートした場合、外部にIDとパスワードが漏れている可能性が大だ。webサイトを書き換えられる前にパスワードを変更した方がいい。

．．．

さて、感染したうちのPCだが、複数のOSをとっかえひっかえやっていて空きパーティションができたので、いつかWindowsを再インストールしようと思っていたので、感染したパーティションは凍結して、別のパーティションへWindowsを再インストールした。あらかじめサービスパックやセキュリティーロールアップのパッケージをダウンロードしておいて、CD-ROMからWindows2000をインストール。まっさらなWindows2000は穴だらけで、このままインターネットにつないではいけない。光やADSLでパケットフィルター機能を持ったルーター経由ならつないだだけで感染することはないが、ダイアルアップやルーターなしのADSLモデム経由だとだとおそらく3分と持たずに他のウイルスに感染してしまうだろう。回線から切り放してすぐにサービスパックとセキュリティーロールアップを当てて、一目散ににWindowsUpdateをかける。出てきたアップデートは80個。ちょうど月例アップデートのタイミングに引っかかったのか、サーバーが応答せずに何度かやり直す。

そして問題のAdobe ReaderとFlashを最新版に。今度のバージョンはちゃんとCPU調べて落ちなくなってるようだな。

というわけでここ2日ぐらい、Windowsの再インストールに追われていたのでした。
皆さんもやられる前に防御体制整えておいてください。

●追記

結構検索で飛んでくる方が居られるので改めて進言しておきますが、このウイルスの駆除はほとんど不可能なので、あきらめて重要なデータをバックアップした後、Windowsのクリーンインストールした方が身のためです。それから、キーロガーでIDとパスワードが抜かれている可能性大なので、各種Webサービスのパスワードも変更しておいた方がよいでしょう。もちろんクリーンな環境から操作するのはもちろんのこと。

●さらに追記

感染予防策としては、Adobe Readerを最新版に (9.1.1 or 8.1.5 or 7.1.2) にして環境設定でAcrobat Javascriptのチェックを外す。Flash Playerを最新版に (10.0.22.87) 更新。WindowsVistaはUACをオン、その他のWindowsは必ずWindowsUpdateを実行しておく。できればInternetExplorerのJavascriptをOFF (インターネットオプションのセキュリティー・レベルのカスタマイズ・スクリプト・アクティブスクリプトを無効) にする。さらにできれば IE 以外のブラウザ (FirefoxやOpera、chrome、Safari) へ切り替える。LunascapeやSleipnir、Dountなどは中身はIEなので無意味。アンチウイルスソフトはウイルスパターンが次々と変化するため、今のところザル同様と思った方がよい。

●再浮上追記

このウイルス、とにかく変化が速くて攻撃元サイトがgumblar.cnからmartuz.cnに変わったそうです。さらにインジェクションされる悪意のコードがHTMLだけでなくPHPにも対応している可能性もあるそうです。PHPベースのCMSやブログシステムを利用している方も注意が必要です。感染してしまうとID/Passが抜かれてサイトが書き換えられるだけでなく、しかけられたバックドアによって感染PCがボットネットに組み込まれ、不正SEOなどに加担してしまう可能性もあります。とにかく感染防止策を施すこと。掲示版などに貼られている知らないリンクを開かないこと。最近は短縮URLサービスなどで、どこへ行くのかよく分からないリンクがあるので注意すること。それから、まめにウイルスチェックしてください。このウイルス以外にも見つかるかも知れません。

オンラインウイルススキャン ・ファイルスキャナ | カスペルスキー
トレンド フレックス セキュリティ : オンラインスキャン
無料ウイルス診断 フリースキャン | マカフィー株式会社
シマンテック・セキュリティーチェック
エフセキュア株式会社 - 無償ウィルス検査

なんか、ほかのウイルス騒ぎでマスコミの反応があまりよろしくないのですが、あっちの方は感染力が強いだけで症状はそれほどでもないようですが．．．煽りやすいからですかね。
なぜ一人でここまで騒いでいるかといえば、自分が感染してしまったと思われるサイトが、ここによく来る人たちが大抵は見ているであろう、この業界内では大手のサイトだからなのです。