Gumblaroid via martuz.cn
サイト改ざん:汚染・再汚染サイトが相次ぎ発覚、攻撃サイトは再び移動
So-net さん、貴方はすごい!
どうして他のセキュリティ会社はこんな Article を出せないんですか?
そもそもセキュ会社じゃない気もするけど、キニシナイ
もし、感染サイトに警報を送る際には、この記事をReferenceにするとよさそうです。
ただ・・1点だけ、
これじゃ、キチンとした対処をして、報告したとこ「ダケ」が注目を浴びてしまって不公平な気がしますです。
できたら、ウィルス実態と危険性告知のとこと、対応済みサイトのとこは、記事を分割して欲しいなぁ・・とか思ったりして・・・
Adobe ReaderやFlash Playerの脆弱性を突くウイルス、急拡大中
おもったより普通の反応なのは、やはり /. のユーザは対策なんか終えてしまって感染してないからなんでしょうね(笑)
あれ? 日本語はこんだけ?・・・
JSRedir-R/Gumblar badness
Refer元が 
Sophosの 5/14の記事とか・・・
まぁ、他にどこも記事だしてないのでしょうがないんですけどね
Martuz .cn - New Incarnation of the Gumblar Exploit. So What’s New?
Unmask Parasite が記事を出してくれました。
あと、「Gumblaroid」というウィルス名称を出してくれましたので、コレ使おうかな(笑)
あと、新しいコードにも対応したと言ってますので、「自分の」サイトのコードチェックをしてみたい方は
http://www.unmaskparasites.com/
を使ってみるのもいいかもしれません。
※あんまり過負担かけると wepawet みたいになるので、なるべく穏便に・笑
さて・・・問題はこれ
Gumblar: A Botnet of Compromised Websites
いつも「独自の」情報を上げてくる ScanSafe なので、とりあえず原文を読んでください(誤訳怖い~)
As we mentioned last week:
Thanks to these 'backdoors', what we're really looking at here can only be described as a botnet of compromised websites. And a growing one at that. Even with the dip in traffic that occurs over the weekend, Gumblar compromised sites still grew another 10% since last Friday, now up a total of 246% from when we first began tracking the increase just over a week ago.
なんかトーンダウンしてますよね?(苦笑)
そういえば、トロイのバックドアとボットネットってどう違うの?と訊かれたのですが・・・
そんな難しい質問をサラリとしないでください(笑)
トロイのバックドアは、自分のPCに意図しない穴を開けられ、情報がダダ漏れになってしまう状態です。
どのレベルの情報が漏れるかは、そのトロイによって大きく異なります。
最近あまり被害を聞かなくなった、「山田ウィルス」なんかは、自分のPCのすべての階層のファイルを自由にアクセスされ、かつ自分のPCのスナップショット(画面)をどこかに送られるという最悪のものでした。
今回のトロイ(
Troj/Daonol-Fam)は、少なくとも FTP のID/パスワードを盗むことは確認されていますが、他については情報待ちです。一方 Botnet に組み込まれると Bot-Network にアクセスし、そのコマンダーのコントロールを待機するようになります(C&C)。
一般的なBotnet陥落PC(=ゾンビPC)は、C&Cから何らかの命令を受け、スパムメールを自分のPCの逆引きホスト名で発信したり、どこかのサイトに対して DDoS 攻撃を行ったり、C&Cのアフィリエイトサイトに勝手にアクセスしたりさせられます。
もっとも、怖いのは Botnet から新種のトロイを内部更新させられるようになると、セキュソフトでは全く検知できなくなる可能性があります。
Gumblaroid 陥落コンピュータが、本当に BotNet C&C の支配下にあって何らかの活動をおこなっているか?という点に関しては、まだまだ未知数のようです。