■BIGTANKのサイトに挿入されていたのは、前回の記事で報告したGumblar(別名GENO)ウイルスで、2ヶ月前に攻撃コードが挿入されていたページを元に戻したハズだったのが一部見逃していて、それがGoogleやその他セキュリティー監視ロボットに発見され攻撃サイトとして認定されてしまい、ついに昨日よりGoogleの検索結果やFirefoxの攻撃サイトブロック機能で警告が表示されるようになってしまいました。Gumblarウイルスというのは、攻撃者が何らかの方法でFTPのユーザーIDとパスワードを入手し、正規のユーザーのふりをしてFTPよりwebサイトのhtmlファイルに攻撃用のコードを挿入する。その攻撃コードというのは、javascriptを使用してAdobe ReaderやFlash Playerなどのプラグインの脆弱性を付くウイルスが含まれている不正なファイルをダウンロードさせる。その不正ファイルのウイルスが感染・発病すると、ユーザーのネットワーク通信を監視し、そのユーザーがFTP通信を利用するとユーザーIDとパスワードを盗み出し以下同様な感染手順を繰り返す。さらにwebブラウザを操ってgoogleの検索結果に不正なサイトへのリンクを挿入したり、外部から攻撃命令を受けるバックドアといわれるプログラムをしかけようとします。
Zlkon, Gumblar 問題に関して - UnderForge of Lack すでに感染しているかどうかを調べるには、自分のコンピュータにインストールされているウイルススキャンソフトを使うか、以下のwebサービスで調べてください。(各社ウイルスの名称がまちまちで判別付かないかも知れませんが)
オンラインウイルススキャン ・ファイルスキャナ | カスペルスキートレンド フレックス セキュリティ : オンラインスキャン無料ウイルス診断 フリースキャン | マカフィー株式会社シマンテック・セキュリティーチェックエフセキュア株式会社 - 無償ウィルス検査このウイルスの駆除方法はいくつかあるらしいのですが、前回私が感染したときはすっぱりとあきらめ、感染したハードディスクはそのままにして別のハードディスクにOSを再インストールし、新しいハードディスクから起動したOSで古いハードディスクの個人情報のみ吸い出しました。アプリケーョン類は新規にインストール。その後古いハードディスクはフォーマット。これが一番確実です。
Gumblarウイルスの感染を防止するには、脆弱性の残っているAdobe ReaderやFlash Playerの古いバージョンを最新バージョンに更新するのはもちろん、このウイルスを検知可能なウイルス対策ソフトを導入するといった二重の安全対策をしていた方が安心です。このウイルスは、すでに不正プログラムを送りつけてくるホストが停止されていて、現時点では新たにウイルスに感染させられる可能性は少ないのですが、いつ攻撃が再開されるか分かりません。感染するのはWindows2000/XPなどのWindowsNT系列のOSでInternetExplorer6を使っている環境に限定されるようですが(Gumblarのみ、その他の亜種は挙動不明)、Windows98/MEやMacだからと言って安心はできません。同じ脆弱性を付く別の新たなウイルスが登場しないとも限らないので、対策をしておくに越したことはありません。
Adobe Flash Player 最新版は 10.0.22.87Adobe Acrobat Reader 最新版は 9.1.2(Win98/MEは 6.0.2 ここの fullversion - Japanise Windows)
■昨日この警告を発見した後、編集長と連絡を取って、攻撃コードが挿入されているページを元に戻していただき、現在確認できる範囲では攻撃コードは見つかっていません。モシ日のページに告知が掲載されていますが、慌てて居たのか告知のpdfファイルが
編集長は、今日から北海道4DAYSのスタッフとして全道各地を飛び回り、サイトの管理ができない状態であると思われるので、現段階で私が知り得る範囲の情報を報告しておきます。
0 件のコメント:
コメントを投稿