一般のWebサイトを改ざんし、閲覧者をウイルスに感染させるための悪質なコードを仕掛ける、通称「Gumblar」。感染パソコンが起動不能になってしまったユーザーも続出し、各社のサポート窓口には電話がつながりにくくなってしまうほどの問い合わせが殺到しているという。JPCERTコーディネーションセンターは27日、改ざん報告が今週に入って急増しているとして、注意を呼び掛けた。
改ざんサイトの管理者やウイルスの感染者にとっては、極めて深刻な事態となっているGumblarだが、攻撃サイトにちょっとした異変が生じている。攻撃サイトが軒並み、攻撃を停止してしまったのだ。改ざんに気付いた管理者が復旧したのならよいのだが、そういう事情ではないようだ。
■「Hate Zeus!」…書き換えられた攻撃サイト
Gumblarの攻撃は、ウイルスに感染したパソコンから、Webサイトの管理アカウントを盗み取り、サイトのトップページなどを改ざん。攻撃サイトに設置した攻撃コードを実行させるためのリンクを埋め込む。今回の一連の攻撃では、攻撃コードを設置した攻撃サイトもまた、管理アカウントを窃取した一般のWebサイトが使われている。異変は、攻撃サイトに設置された、この攻撃コードに起きている。
26日夜あたりから、この攻撃コードが無害な内容に書き換えられているのだ。書き換え後のコードはいずれも同じ内容で、末尾には「iframes are EVIL! Hate Zeus!」と記されている。Zeusに敵意を持つ何者かの手によって、いっせいに書き換えられているようだ。
■キーワード「Zeus!」をめぐる解釈
Zeusというのは、ZBotの名でも知られるボットネットを指揮している攻撃集団のこと。本通信でも何度かとりあげた、ウイルスメールの添付ファイルやリンク先で感染するウイルスの名でもあり、これに感染し、彼らのボットネットに取り込まれてしまった国内ユーザーのパソコンも多い。
20日付けのScanSafeのブログでは、GumblarとZeusの結託を指摘。25日付のSophosのブログでは、別のボットネット集団Bredo(Bredolab)とZeusの抗争を、26日付のブログでは「iframes are EVIL! Hate Zeus!」というそのものズバリのタイトルで、抗争相手の仕業か、新たな住み分けが始まったのかと結んでいる。
Sophosの話は、改ざんサイトにiframeを埋め込む別の攻撃に端を発したものだが、そこに示されている無害化されたコードは、書き換えられたGumblarの攻撃サイトのものと同じ内容だ。=(2)へ続く=
(2009/10/29 ネットセキュリティニュース)
■Web サイト経由でのマルウエア感染拡大に関する注意喚起(JPCERT/CC)
http://www.jpcert.or.jp/at/2009/at090023.txt
■Zeus Bot Joins Gumblar Attacks[英文](ScanSafe STAT Blog)
http://blog.scansafe.com/journal/2009/10/20/zeus-bot-joins-gumblar-attacks.html
■Bredo vs. Zeus The Battle of the Bots continues[英文](Sophos)
http://www.sophos.com/blogs/sophoslabs/v/post/7053
■iframes are EVIL! Hate Zeus! SophosLabs blog[英文](Sophos)
http://www.sophos.com/blogs/sophoslabs/v/post/7123