« I'm Gambler 05-09
grumble whichever »

Diagnostics about gumblar's trojan....

見たくなかった・・・

gumblar.exe -- ThreatExpert

A malicious backdoor trojan that runs in the background and allows remote access to the compromised system

悪意のあるバックドア型トロイは、バックグラウンドで駆動し、陥落したシステムをリモートからアクセスできるようになります。


どうやらほんとに Botnet っぽいですね・・・感染してしまった人には最悪の結果になってしまいそうです。

----------
とりあえずは・・・・

先刻塞いだ、Botnet C&C IP(BotNet コマンド&コントローラ) を閉鎖してください
これは最優先事項です。

あまりにも危険なので、事大主義的な封鎖範囲:
Datacenter Hosting.UA UA
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)

----------
次に XP / 2000 の方は sqlsodbc.chm をチェックしてください。

Windows XP:
改ざんされていなければ、下記のはずです。
C:\WINDOWS\system32\sqlsodbc.chm
50,727 bytes
MD5:F639AFDE02547603A3D3930EE4BF8C12

Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認
(C:\WINNT\system32\sqlsodbc.hlp は存在する)
C:\WINDOWS\system32\sqlsodbc.hlp
17,148 bytes
MD5:3177C8154F1011535FDD1B1B30D3D2E9

ごめんなさい
Server2003に関してはわかりません。

MD5(ハッシュ)は、FastHashあたりを使用してください。

追記:
FastHashは、ちょっと初心者の方には使いにくいですので
gumblar.cn感染をチェックする(MD5取得方法紹介 by 高機能サロン管理システム★さまれぼ!★開発日記さま
の記事を参照してください。
キャプ入りで判りやすく解説してあります。感謝です m(_ _)m

----------
sqlsodbc.chm が怪しい場合には、以下のレジストリをチェックしてください。

注意:レジストリ操作はWindowsの知識が無いとシステムに致命的なダメージを与える可能性があります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

aux, aux1, aux2... aux9 もしくは midi, midi1 などの設定に見慣れないファイルが設定されていないかどうか?



普通は .dll もしくは .drv のはずです。

感染している例:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 : aux = kft.blc


----------
以上2点を満たす場合、残念ながらウィルスに感染している可能性が高いです。

まず、LANケーブルを引っこ抜いてください!
笑い事ではなく、物理的にインターネットから切り離してください。

このへんを見ながら回復を図ってもよいのですが、はっきりいって不毛です。(回復した後も、本当に安全かどうか疑心暗鬼になってしまうため)

バックアップを取った後、必要なhtml, php, js を "unescape" で grep し、悪意コードの痕跡を消し去り、OSをクリーンインストールしたほうが無難です。

一応 MalwareBytes でも削除できたという報告はありますが、私は確認していません。

----------
尚当然ながら、旧zlkon感染者もBotNetに屈していた可能性があり、バックドアが生きていない保障はどこにもありません。
Process Explorerを使って不審なプロセスを調べることも可能ですが、svchost の知識が必要になります。


ずつう(変換できない)の種が増えた・・

This entry was posted on 日曜日, 5 月 10th, 2009 at 2:01 AM and is filed under RiskHedge, security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

3 Responses to “Diagnostics about gumblar's trojan....”

  1. excomp Says:
    5 月 10th, 2009 at 2:06 PM

    こんにちは、excompです。
    いつも有益な情報、ありがとうございます。
    私のブログでもこのページを取り上げ、MD5取得方法を紹介しておきました。
    http://excomp.cocolog-nifty.com/blog/2009/05/gumblarcnmd5-1b.html
    感染拡大防止に少しでも役立てば良いのですが。


  2. UnderForge of Lack » Blog Archive » BLOCK LIST Says:
    5 月 11th, 2009 at 9:05 AM

    [...] .236.255 COMMERCIAL MEDIA Q0925-63-146-2-0 USA 63.146.2.0 - 63.146.2.255 ********** WARNING HIGH PRIORITY ********** 2009.05.09 Botnet C&C by Gumblar Datacenter Hosting.UA Ukraine 78.109.16.0/20 (78.109.16.0 - 78.109.31.255) 2009.05.09 Malwa [...]


  3. UnderForge of Lack » Blog Archive » Answering to myself *grumble* Says:
    5 月 16th, 2009 at 1:01 PM

    [...] 個人的には 78.109.29.112 (BotNet C&C) 78.109.16.0/20 (78.109.16.0 - 78.109.31.255) Botnet C&C by Gumblar - 2009.05.09 Datacenter Hosting.UA Ukraine 195.216.160.0 - 195.216.191.255 Junik New range -- 2009.05.15 [...]


Leave a Reply

*
画像に書かれた文字を入力してください

スパム対策用画像
ログインすると画像認証なしで投稿できます

ホットワード padding margin background 悪意 バックドア
割引クーポンまとめ情報 - クー割