Gumblaroid : 解析に関する補足とか
あ~~~またこの話が連続してしまってる・・・
ま、旬なので(多少、薹が立ってますが)しょうがないかな?
今回の Gamblaroid 本体の解析ですが、最初に解析を出したのは ScanSafeでした。
Malware Manipulating Google SERPs -- 04/17/2009
このとき既に、
the malware is its ability to monitor traffic and steal FTP credentials
トラフィックをモニタし、FTP情報を盗む
となっています。
ここでいう、 trafficというのが具体的に何を指しているのか、あまり深く考えていなかったのですが
「感染すると、さまざまな被害に」――最新Webウイルスを徹底解説
原文:
Inside the Massive Gumblar Attack
FTPアカウントを盗み出す対象となるのは、感染パソコンだけではない。感染パソコンが接続しているネットワーク(サブネット)が対象となる。ウイルスは、ネットワークを流れるデータを収集するソフトを特定のサイトからダウンロードしてインストール。そのソフトを使ってネットワークを流れるデータを監視し、FTPアカウントと思われるデータを記録する。
As mentioned earlier, the malware downloads software to sniff network traffic, winpcap. With the network card in promiscuous mode, the attacker can then capture other FTP credentials from machines on the same subnet.
An entry is made in the registry for winpcap: HKLM\SOFTWARE\WinPcap
え?
ちょっと待った
と、思った人も多いはずです。
こうなると話がかなり変わってきます。
今、出向中の身なので、まさか VM 入れて感染状態をつくるわけにもいかないわけですが(笑)
友人の環境下(わざわざ環境再構築してもらいました・感謝)では、このキーの登録は確認できませんでした。
となると、この人はいったい何(いつ、どこから落ちてきたバージョン)の解析をしているんだろう?とかなり疑問になるわけです。
まぁ、ウチも個人ですし、この人も個人のラボっぽいので、
どこまで何を信じるかは、捉えた人次第ということにしておきましょう。
------------
ノートン大先生の解析結果:
Infostealer.Daonol
危険度 1: ほとんど影響なし
影響ないのかぁ・・
--------------
そういえば、今回の一連の騒ぎの最中、もっとも静かだった TrendMicroですが
Gumblar Finds Successor, Continues Info Stealing Spree
なんかもう、自分たちも検出してたんだぜ! みたいなこと言わなくてもねぇ・・
しかも、本体の解析はおろか、検出名すら出してないって・・・
この辺は、シグネチャベースを重視しているセキュ・ベンダーの悲しいところですね。
埋め込み JavaScriptの検出だけでも・・
JS_AGENT.ASWE JS_AGENT.ASXB JS_AGENT.ASYC JS_AGENT.ASWF
JS_AGENT.ASXC JS_AGENT.ASYD JS_AGENT.ASWG JS_AGENT.ASXD
JS_AGENT.ASYE JS_AGENT.ASWH JS_AGENT.ASXE JS_AGENT.ASYG
JS_AGENT.ASWI JS_AGENT.ASXF JS_AGENT.ASYH JS_AGENT.ASWO
JS_AGENT.ASXG JS_AGENT.ASYL JS_AGENT.ASWP JS_AGENT.ASXI
JS_AGENT.ASYM JS_AGENT.ASWQ JS_AGENT.ASXK JS_AGENT.ASYN
JS_AGENT.ASWR JS_AGENT.ASXL JS_AGENT.ASYO JS_AGENT.ASWS
JS_AGENT.ASXN JS_AGENT.ASYP JS_AGENT.ASWT JS_AGENT.ASXR
JS_AGENT.ASYQ JS_AGENT.ASWV JS_AGENT.ASXS JS_AGENT.ASYR
JS_AGENT.ASWX JS_AGENT.ASXT JS_AGENT.ASYS JS_AGENT.ASWY
JS_AGENT.ASXU JS_AGENT.ASXA JS_AGENT.ASXX
こんな感じだったらしいです・・・・
Signature Spammerですか?(苦笑)
--------------
余談:
zolkon って何ですか?ってメールが来たんですが、何かの符丁かと思ったらコレだった・・
被害が多発する「Gumblarウイルス」への対策を実施しよう
なんというか、隣に zlkon.lvって書いてるのは何?って感じですね(苦笑)
余談ついでに・・・
E-Wordsに項目ができていました(笑)
Gumblar 【GENOウイルス】
5 月 24th, 2009 at 2:19 PM
> With the network card in promiscuous mode, the attacker can then capture other FTP credentials from machines on the same subnet.
winpcap使う使わないにしろ、promiscuous使ってる可能性は高いと思いますが、
正常なスイッチングハブ使っている限り、同一サブネットのftpダダ漏れはないです。
設備更新せずに未だにリピータハブを使っていると、問題になるでしょう。
promiscuous自体はそんなに難しくないので、今回のシステム作れる人ならwinpcap使うまでもないです。
VM上でのpromiscuousについては、VMの仕様とネットワーク接続形態に依存します。
条件によっては親OSのftpの通信が読めるでしょう。
5 月 24th, 2009 at 10:58 PM
こんばんわです。
技術的な解説、ありがとうございます。
自分も詳しいわけではありませんが、少なくともプロミスキャスを有効にするためには NICへの割り込みを掛けないといけない(はず)なのですが、今回の検体を使った簡易テストでは、そういった動きはみあたりませんでしたので、「何か別の検体」の結果がごちゃ混ぜになっている気がします。
どちらかというと、恐ろしいのは
FTPは「利用価値が低いから」感染経路拡大のために使用したという可能性がある点です。
クレジットカード情報などの有価情報が、自分の知らない間にアンダーグラウンド・マーケットに出回ったりすることは珍しいことではありませんので・・・