Gumblar は H1N1 に乗ってやってくる?
ぇ~ まだGumblarネタ続けないといけないの?
Swine flu and Troj/JSRedir-R
レバノンの政府サイトが感染したまま放置されている様子・・・
Sophosのようなセキュリティ企業が警報しても反応無いんだから、個人で警報しても難しいのは当然かな・・?
あと、自分のサイトが Google BlackListed されている場合の解除方法が Unmask Parasiteに記載されていました。
Gumblar/Martuz Aftermath
--------------
そういえば、TrendMicroがようやくウィルス本体の識別名を出してきたようです。
インターネット脅威マンスリーレポート - 2009年5月度
5月は引き続き「BKDR_AGENT(エージェント)」の亜種「JS_AGENT」などを埋め込む、Webサイト改ざんが確認されています。改ざんされたサイトの中には、最終的にFTPサーバのアカウントを盗む「TROJ_SEEKWEL(シークウェル)」がダウンロードされるケースが確認されており、盗み取ったアカウントを悪用して別のWebサイトを改ざんしようとする狙いがあるようです。Webを閲覧するユーザは、こうした改ざんされたサイトから不正なサイトに誘導されないようにするためにも、セキュリティ製品の危険なWebサイトへのアクセスをブロックする機能を利用することが有効です。
って・・FlashとAcrobat Readerのアップデート注意喚起が抜けてるような気がしないでもない・・・
TROJ_SEEKWEL
って・・TROJ_SEEKWELだけ、詳細がないじゃないですか!?
図1:「JS_AGENT」などを使用した正規サイト改ざんの概念図
のウィルスが妙にかわいい(笑)
6 月 6th, 2009 at 2:21 PM
G'nomeさん、こんにちは。
リンク先のブログにあるように、また新しい感染サイトが見つかりました。
IFRAMEを使っていて、その中で誘導しようとするサイトはGoogleで危険なサイトだと認定されたものです。
とりあえず、お知らせまで。
6 月 6th, 2009 at 7:26 PM
ありがとうございます
(ミスして一度コメントを消してしまったことが内緒で・・・)
現状、当該サイトだけのようですので、なるべく早めに感染状態から復帰することを祈るとして・・
問題は、その感染経路にあります。
見た感じは LuckeySploit系のインジェクションだと思われますので
1.PC本体がウィルスに感染し、FTPパスを抜かれている
2. PC本体がウィルスに感染し、中間者攻撃で改竄を受けた
3.PCがすでにボットネット端末化しており、色々な悪さに加担させられている
4. 弱い ID/PASSを使っていたため SSH辞書で落とされた
5. SQL インジェクションにより、勝手に挿入された
というふうに、いろいろな状況が考えられますので一概にはなんとも言えません