UnderForge of Lack

Symantecが万を持してシグネチャ定義してきました。
Infostealer.Daonol

ふ～ん（笑）
見せてもらおうか、Symantecの本気とやらを！（死語っぽい）

slw.xbn 9/40 (22.5%) 撃墜

slw2.xbn 9/39 (23.08%) Symantec 撃墜

slw3.xbn 9/40 (22.5%) Symantec 撃墜

slw4.xbn 9/40 (22.5%) Symantec 撃墜

slw5.xbn 9/40 (22.5%) Symantec 撃墜


別環境下で取得

grweooj.cxu 9/40 (22.5%) Symantec 撃墜

素直に拍手 *clap* *clap* *clap*

全撃墜してるのは

AhnLab-V3
AntiVir
AVG
Kaspersky
McAfee-GW-Edition
Microsoft
NOD
Rising
Symantec

の９ベンダー

ちょっと前まで 2 とか 3 だったのを考えると、本腰を入れて解析したのでしょう。

※これで、パターン変えられなきゃいいのですけど、まぁ、無理でしょうね（苦笑）

なんていうか・・・アレですね

大感染状態からようやく、小康状態の兆しが見え始めたあたりで

Webに感染するマルウェア「JSRedir-R」が猛威

Adobe ReaderやFlash Playerの脆弱性を突く「Webウイルス」に注意

猛威を振るう「JSRedir-R」マルウェア、ソフォスが注意を呼びかけ

と立て続けに記事が出てきました。

あの・・・ 正直言って４月中旬になぜこうした記事を打ってくれなかったのでしょうね。

So-netを持ち上げるわけではないですが、独自ソースできちんとした記事を書いてくれたのは so-net さんだけでした。

多数サイトが改ざん(1)　PC通販「GENO」など閲覧者にウイルス感染のおそれ
多数サイトが改ざん(2)　狙われた「Adobe Reader」と「Adobe Flash Player」


また、第二次パンデミックになる直前にも、こうして特集を組んでくれています。

正規サイト改ざん(1)　総合ホビー展示即売会「ビコン」公式サイトも被害に
正規サイト改ざん(2)　薬事日報社が調査結果公表～改ざんの手口が明らかに
正規サイト改ざん(3)　ウイルスに感染しないための対策


そのときに、他社も追随して Adobe Flash Player と Adobe Acrobat Reader の脆弱性の問題とそのアップデートを宣伝してくれれば、すくなくともココまで酷いパンデミックになってはいなかったのではないか？と思うわけです。

別に非難するわけではありませんが、残念です。


---------------
あと、誤解があるようなのでちょっと補足しておきますが、今回の zlkon/gumblar/martuz で使用されている adobe acrobat reader の exploits は

CVE-2008-2992
Stack-based buffer overflow in Adobe Acrobat and Reader 8.1.2 and earlier allows remote attackers to execute arbitrary code via a PDF file that calls the util.printf JavaScript function with a crafted format string argument.
と、
CVE-2009-1061
Unspecified vulnerability in Adobe Acrobat Reader 9 before 9.1, 8 before 8.1.4, and 7 before 7.1.1 might allow remote attackers to execute arbitrary code via unknown attack vectors related to JBIG2 and "input validation,"

の２つの混在です。

これが修正されたのは
Adobe ReaderおよびAcrobat用セキュリティアップデート公開 -- 2009.03.18です。
※注意、最新版ではありませんので、ここのアップデートは行わないでください。

つまりゼロデイでも何でもありません。

5/12 に修正された
CVE-2009-1492
を使った攻撃は、自分が確認した時点では、今のところ確認できません。

-----------

どうでもいいこと・・だと思う・・たぶん・・

Japan's GENO = Gumblar

コレはアメリカンジョークなんですかね？（苦笑）

とりあえず、 BSoD でどうしようにもなくなってしまった方への緊急救済プランです。

※セキュリティベンダーからこのような指示がでているわけではありません。

これはあくまでも、私的な話ですので念のため。
VMware上の感染マシンの挙動をベースにしています。



感染が確認されたため、とりあえず LAN ケーブルを引っこ抜いたけど、再起動しても BSoD （ブルースクリーン）になって起動しない！


という方へ、


LANケーブルは差し込まないでください（差し込むと、悪意サイトへの接続を試みます）


セーフモードで起動します。

Windows XP を セーフ モードで起動する方法
コンピューターの起動直後に、次の Windows 拡張オプション メニューが表示されるまで、F8 キーを繰り返し押します。

Windows2000 / Server2003 も同様のはずです。


レジストリ・エディタを起動します。
「スタート」から「ファイル名を指定して実行」を選び、

「regedit」と打ち込んでリターンします。



いっぱいあるメニュー内から
「HKEY_LOCAL_MACHINE」をダブルクリックして開きます（左の[+]でもOK）
「SOFTWARE」を開きます
「Microsoft」を開きます
「Windows NT」を開きます
「CurrentVirsion」を開きます
「Drivers32」をクリックします。

そうすると、データに何やら怪しげなファイルが設定されています。



このファイルの位置をメモして、このファイルを探してください。

※この状態で AUX=の値を変えないでください

C:\WINNT\System32\..\abcdef.ghi のようなファイルになっている場合には
C:\WINNT の中にあります（ \..\ を使って困惑を図っています）

ファイルを発見したら、そのファイルを抹消し、もう一度セーフモードで再起動します

Ｆ８キー押し中
再起動中・・・・・

また、同じ動作でレジストリ・エディタを起動します。

同じ場所を開きます。

さっきと同じキーの値 (AUX=) が前と変わっていないこと（再改ざんされていないこと）を確認してください。

さっきのファイルがあった場所を確認します。

再びファイルが戻っていないことを確認してください。


AUX=の値を通常の値に書き戻します。

普通は
Windows 2000 : mmdrv.dll
Windows XP : wdmaud.drv
のはずです。

インストールしているサウンド系のソフト・ハードウェアドライバによっては、別のものかもしれません。
その辺りは、環境によって異なります。


インストールマネージャの待機状態を修復します。

レジストリ・エディタの根元から
「HKEY_LOCAL_MACHINE」をダブルクリックして開きます（左の[+]でもOK）
「SYSTEM」を開きます
「CurrentControlSet」を開きます
「Control」を開きます
「Session Manager」をクリックします

PendingFileRenameOperations に妙な数値がセットされていませんか？
例：0x5c003f003f005c0043003a005c005f002e006500000000000000

キーごと削除してしまってかまいませんが、数値を０にしてもＯＫです。


以上の変更が完了したら、通常起動します。



再起動中



レジストリエディタを開いて、最初の
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
が再度改ざんされていないことを確認します。


さぁ・・バックアップを始めましょうか～


※この状態で完全に安全といいきれるほど、私はこのウィルスに精通していません。

サイト改ざん：汚染・再汚染サイトが相次ぎ発覚、攻撃サイトは再び移動
So-net さん、貴方はすごい！
どうして他のセキュリティ会社はこんな Article を出せないんですか？
そもそもセキュ会社じゃない気もするけど、キニシナイ

もし、感染サイトに警報を送る際には、この記事をReferenceにするとよさそうです。

ただ・・１点だけ、
これじゃ、キチンとした対処をして、報告したとこ「ダケ」が注目を浴びてしまって不公平な気がしますです。
できたら、ウィルス実態と危険性告知のとこと、対応済みサイトのとこは、記事を分割して欲しいなぁ・・とか思ったりして・・・


Adobe ReaderやFlash Playerの脆弱性を突くウイルス、急拡大中
おもったより普通の反応なのは、やはり /. のユーザは対策なんか終えてしまって感染してないからなんでしょうね（笑）


あれ？　日本語はこんだけ？・・・



JSRedir-R/Gumblar badness

Refer元が Sophosの 5/14の記事とか・・・
まぁ、他にどこも記事だしてないのでしょうがないんですけどね


Martuz .cn - New Incarnation of the Gumblar Exploit. So What’s New?
Unmask Parasite が記事を出してくれました。
あと、「Gumblaroid」というウィルス名称を出してくれましたので、コレ使おうかな（笑）

あと、新しいコードにも対応したと言ってますので、「自分の」サイトのコードチェックをしてみたい方は
http://www.unmaskparasites.com/
を使ってみるのもいいかもしれません。
※あんまり過負担かけると wepawet みたいになるので、なるべく穏便に・笑


さて・・・問題はこれ
Gumblar: A Botnet of Compromised Websites
いつも「独自の」情報を上げてくる ScanSafe なので、とりあえず原文を読んでください（誤訳怖い～）
As we mentioned last week:

Thanks to these 'backdoors', what we're really looking at here can only be described as a botnet of compromised websites. And a growing one at that. Even with the dip in traffic that occurs over the weekend, Gumblar compromised sites still grew another 10% since last Friday, now up a total of 246% from when we first began tracking the increase just over a week ago.

なんかトーンダウンしてますよね？（苦笑）


そういえば、トロイのバックドアとボットネットってどう違うの？と訊かれたのですが・・・
そんな難しい質問をサラリとしないでください（笑）

トロイのバックドアは、自分のＰＣに意図しない穴を開けられ、情報がダダ漏れになってしまう状態です。
どのレベルの情報が漏れるかは、そのトロイによって大きく異なります。
最近あまり被害を聞かなくなった、「山田ウィルス」なんかは、自分のPCのすべての階層のファイルを自由にアクセスされ、かつ自分のＰＣのスナップショット（画面）をどこかに送られるという最悪のものでした。

今回のトロイ(Troj/Daonol-Fam)は、少なくとも FTP のID/パスワードを盗むことは確認されていますが、他については情報待ちです。


一方 Botnet に組み込まれると Bot-Network にアクセスし、そのコマンダーのコントロールを待機するようになります（C&C)。

一般的なBotnet陥落PC（=ゾンビPC）は、C&Cから何らかの命令を受け、スパムメールを自分のＰＣの逆引きホスト名で発信したり、どこかのサイトに対して DDoS 攻撃を行ったり、C&Cのアフィリエイトサイトに勝手にアクセスしたりさせられます。
もっとも、怖いのは Botnet から新種のトロイを内部更新させられるようになると、セキュソフトでは全く検知できなくなる可能性があります。

Gumblaroid 陥落コンピュータが、本当に BotNet C&C の支配下にあって何らかの活動をおこなっているか？という点に関しては、まだまだ未知数のようです。

ふぅ～
ニフティ株式会社様へのお詫びが重くて・・・・
いや・・ほんと申し訳ないとは思っていますです。ハイ。


雑感とか


今回の騒ぎを通して、「サイト管理者」の認識の温度差を激しく実感することになりました。


車を運転する人なら判ると思いますが、自動車は使われ方によっては凶器に変貌します。
しかし、乗っている最中にそれを考えながら走行させている人はまず居ないと思います。


今回の事態はソレに似ています。誰もが簡単に自分のWebを持ち、自由に発信できるようになりました。
そのことによって、弊害も出ているわけですがそれはコンテンツ内部の問題です。
しかし、意図せずに「自分が加害者になるかもしれない」ということを認識している人はまず居ないでしょう。

今回、私たちが必死に警告メールを送っても、その当該サイトから返事が来たことは一度もありません。
おそらく、読んでももらえていないでしょう。
実効力があったのは、そのサイトのホスティング会社への警報でした。
しかし、ホスティング会社が「サイトの内部まで精査することはできない」ということは重々承知の上で送っているので、反応が悪いことは織り込み済みでした。

実際にそんな実例が報告されているわけではありませんので、無用な恐怖を煽るつもりはありませんが、少なくとも感染してしまった方の FTP の ID/PASSWORD は完全に窃取されています。
このことは、感染者の http: プロトコル通信のすべてが覗き見されていた可能性を示唆します。
もし、感染者が不安を感じたら、Web上で使用した ありとあらゆる金銭に直結した情報の変更を行うでしょうし、その労力は大変なものになります。
その責任をどこに問うのか？　非常に難しいものがあるでしょう。


また、ホスティング会社に関しても同様です。
たとえば、前回の件で容赦なく「ブロックリスト」に投入されている zlkon.lv ですが、この会社はラトビアにあるホスティング会社の管轄で、会社そのものの実効経営はインドの会社名義になっているようです。
あまりにもマルウェアを配布しすぎたため、現在は完全に焼きリストの定番になっていますが、果たしてそのことに気がついているのかは甚だ疑問です。

そして、日本のホスティング会社であってもその事情は変わらず、長時間にわたってマルウェア散布やスパム散布を放置すれば、そうした行為を監視している組織のブラックリストに入れられてしまうのです。
そのリスクは、ホスティング会社にとっては致命的なものだと思うのですが、まだそこまで気が廻ってないように思います。現実的に、symantecからspamの温床として名指しされてしまった日本のレンタルサーバ会社もあります。


インフルエンザでも何やら不穏な状況になっていますが、こうした事態への対処は初動が重要です。少なくとも ４月中旬の時点で何らかの警告をだし、Acrobat Reader / Flash Player のアップデートの警告を「具体例を出して」警鐘していればこのような事態は防げたのではないか？と思っています。
そして、（個人サイトですので無理なんですが・・）そうした警鐘が出せなかったことを残念に思います。

こうした、「明らかにサイト運営者が意図的に行ったものではないインジェクション」が発覚した場合、何らかの実効力をもった警報が出せるシステムってできないものでしょうか・・・？

さんあたり、なんとかならないものなんでしょうかねぇ・・

合衆国だと、 NSA になるんでしょうかね？
※それは違う・・たぶん・・・


JITTERIN' JINN プレゼント
あなたが私にくれたもの～
一日４００通のスパムメール