デジタルマガジン(digimaga.net)にGamblarらしき改竄が有った件。
改ざんされた日時はこちらのコメントに有る通り、12月27日13:53より前。12月28日14時頃には修正されていましたが、未だにデジマガでのアナウンス(お詫びなどの報告)が無いため予定を変更してネタにします。 12/29 13時頃にお詫びが掲載されました。
Gamblarとは、2009年春頃に大ブレイクしたトロイで、6月、9月そして今回は12月に亜種が流行しております。詳しい説明はウィルス対策を販売している各社にお任せですが、感染すると何が起こるのか簡単に流れ。
- パソコンAで改ざんされたWebページ(サイト)aを開く
- aに書かれた不正なコードをパソコンAが自動で実行してしまう
- パソコンAに入っているIDやパスワードを攻撃者へ勝手に伝える
- 攻撃者がパソコンAで管理されていたWebサイトb,c,d,e,f・・・を改ざん
- Webサイトb,c,d,e,f・・・にアクセスしたパソコンB,C,D,・・・へ感染
ウィルス(トロイの木馬)対策されていないなどのPCで改ざんされたWebサイトへアクセスすると感染し、ねずみ算式に広まって行くというものです。
まずい事にWebからの攻撃に対応していないフリーのウィルス対策ソフトや、パターンの供給が遅れたり解析の範囲(汎用)が甘いという理由で、対策ソフトをインストールしていても安心とは言えない事が有ります。
今回デジタルマガジンに貼られていたGamblarらしきものは、カスペルスキーやNOD32のようなPCに詳しい人間に支持されるものでは警告が有り、有名所のウィルス(スパイウェア)対策ソフトでは反応しなかったりも有ります。
と言うわけで改ざん中のデジマガに、twitterでお会いした有志と突撃。
ソースに有る「/*GNU GPL*/」とは?
改ざん真っ最中に保存したソースはこれです。
<script>/*GNU GPL*/ try{
から始まる部分でスクリプトが実行され、難読化されている為どこへ接続しているのか不明ですがデコードするとこうなります。
難読化されているJSをデコードして、以下のURLを呼び出す事を追証しました。参考までに。 adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080
やたら長いドメインですが、最後に有るポート8080を利用した攻撃のようで。
GNU GPLとは、ライセンス(著作権)を表すものですが、このソースで始まる改ざんはGamblarと見て間違い無いかと。アクセスするとページが真っ白になる事があるため、そういう状況に遭遇した時はソースを一応確認しましょう。
また、ページ全体を書き換えるものでは無く、ページの一部に書かれる事も有るそうで、こうなると見た目判らず、ウィルスやスパイウェア対策ソフトで検出される事を祈るしか有りません。
詳しく紹介されているブログが有ったので興味が有ればご参考あれ。
『/*GNU GPL*/』『/*CODE1*/』のウェブ改ざん - 無題なブログ - Yahoo!ブログ
http://blogs.yahoo.co.jp/noooo_spam/59304043.html
ソースを貼ると誤動作した時が怖いため画像としていますが、研究用としてソースをテキストで保存したので、そういうのが好きな人はダウンロードどうぞ。初心者や意味が判らない人は落としてはなりません。
- http://bto-pc.jp/btopc-com/2009/12/29/gamblar-script.zip
zipパスワードはbiohazard、展開するとgamblar-scriptフォルダの中にdigimaga.net_2.txtが1つ現れます。
Gumblarに感染しない為に最低限やっておくこと
私は何も考えずデジマガに突撃してソースを拾って来ていますが、感染しない自信があったのでは無く、したらOSを再インストールする前提でアクセスしており普通はやってはなりません。
最低限やっておくことは。
- Windowsアップデートを最新に保つ(特にXP)
- Adobe Readerを最新版に保つ
- Javaを最新版に保つ
Gamblarの亜種は検出しない事が有る為、上記は必須。
当然ながらウィルス対策やスパイウェアなどのセキュリティソフトは必ずインストールしている事です。修理現場では、使用期限が切れた状態で放置しているユーザがおられましたがご注意下さい。
Windowsアップデート
VistaやWindows7は自動更新されているはずですが、XPより古いものは設定により手動になっている事が有ります。XPはSP3、新しい更新が無くなるまでアップデートしましょう。
Microsoft Windows Update
http://windowsupdate.microsoft.com/
AdobeReader
GamblarはPDFファイルをダウンロードし、開いた直後にJavascriptを実行するらしいためAdobeリーダーのJavascriptは切った方が良さそうです。
最新バージョンのAdobe Readerのダウンロード
http://get.adobe.com/jp/reader/
Javascriptの切り方
Adobe Readerを開き、編集から環境設定を選択。
上から2番目のJavascriptを選択し、Acrobat Javascriptを使用するのチェックを外す。
(Sun)Javaの最新バージョン確認
ほとんどのPCに入っているであろう無料のJava、これも最新にするか不要ならアンインストールしましょう。不要かどうかを判断出来なければ最新へアップデートをお勧めします。
Java ソフトウェアのインストール状況の確認
http://www.java.com/ja/download/installed.jsp
実際に感染し改ざんされた場合の対応
感染すると管理下のWebサイトが改ざんされ、セキュリティの弱いパソコンは感染し、二次被害どころか延々と拡大して行きます。自衛するしか有りませんが、万一感染した場合の対処すべき手順。セキュリティソフトを常に最新パターンに更新しておくという前提で。
- 全てのネットワークから切断(LANケーブルを抜き、無線LANオフ)
- scriptが実行されない環境で別のPCからIDやパスワードを変更
- 同じく、別のPCから502を返しメンテナンス中という1ページを表示
- 同じく別のPCから改ざんされた部分を修正、または全て削除
- ウィルス対策ソフトでPC内の除去を試み、無理ならOS再インストール
このブログもご多分に漏れず、FTPを使用しアップロードしたり管理画面からログインしており万一の際には上記の手順を踏むことになります。
冒頭で書いた通り、デジタルマガジンにお詫びが掲載されました。
【お知らせ】デジタルマガジン、ページ不正改ざんについてのお詫び|デジタルマガジン
http://digimaga.net/2009/12/about-infection-to-the-gumblar-virus.html
謝罪、原因、対策まで詳細に書かれた良い文章と評価出来ます。 何が有ったのか流れを見ることが出来るため、サイト管理者は参考にされるとよろしいかと。
このブログ(BTOパソコン.com)は、業者のパソコンへVPNで接続しファイルを上げていますが、万全とは言えず他人事でもありません。万一感染した際にはメンテナンス中の画面が表示されるはずなので、自分のPCに感染していないかチェックして下さい。
上の3点、Windowsを最新、Adobeリーダ設定、SunのJava最新にしていれば感染率は大きく下がります。実際、この3つだけで突撃用ノートは感染しませんでしたが、ウィルス対策ソフトは必須です。
