最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« Gumblar被害拡大中(1) 復習編:「Gumblar」って何?/攻撃の流れ(2009/12/11) | メイン | Gumblar被害拡大中(3) 予防対策(2009/12/11) »

2009/12/11

Gumblar被害拡大中(2) 現在のGumblar:感染するとどうなる?(2009/12/11)

■現在のGumblar

 前掲の「復習編:「Gumblar」って何?/攻撃の流れ」の内容を頭に入れて、セキュリティベンダーが最近発表した資料を見ると、Gumblarが今も活発に活動していることが分かる。

 まず、ローダー「Gumblar.x」を非常に良好な成績で検出しているカスペルスキーでは、これまでに、ローダーや攻撃コード、ウイルス本体の置かれた攻撃サイトを2000件以上、リダイレクターが置かれたサイトを7万6100件以上確認したとしている。また、同社の11月の「インターネット上のマルウェアランキング」では、「Gumblar.x」がダントツの1位。ダウンロード試行回数は171万4509回で、2位のマルウェアの18万9881回に比べ、桁違いに多い。「Gumblar.x」の亜種「Gumblar.w」も、10位にランクインしている。

 トレンドマイクロの11月の「不正プログラム感染被害報告数ランキング」では、「Kates」が307件で1位だ(10月には48件で4位)。また、ローダー「JS_GUMBLAR」(Gumblar.xと同じもの)が5位となっている(10月は圏外)。

・Gumblar infection count[英文](Kaspersky Lab)
http://www.viruslist.com/en/weblog?weblogid=208187923
・マルウェア マンスリーレポート:2009年11月(カスペルスキー)
http://www.kaspersky.co.jp/news?id=207578794
・インターネット脅威マンスリーレポート - 2009年11月度(トレンドマイクロ)
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20091202102123.html

■Daonol/Kates/Landoに感染すると

 Gumblarによってパソコンに送り込まれるウイルスがWebサイト更新用のFTPアカウントを盗み、これが悪用されてWebサイトが改ざんされるということは、ご存じの方が多いだろう。認識がそこで留まると、Gumblarの影響を受けるのはサイトを運営している人だけだと思ってしまうかもしれない。

 しかし、ウイルスDaonol/Kates/Landoが行う悪事はこれだけではない。サイト管理者だけでなく、すべての人に影響が及ぶのだ。春の時点での情報も含め、これまでにセキュリティベンダーから報告されているDaonol/Kates/Landoの悪事には、以下のようなものがある。

・感染したパソコンの通信を監視し、FTPサーバへのログイン名とパスワードを盗んで攻撃者に送信する。FTPアカウントだけでなく、入力した各種のログインIDやパスワードすべてを盗んでいる可能性もある。
・感染パソコンをボットネットの一員としてしまう。そのため、スパム活動に加担させられたり、偽セキュリティソフト詐欺の被害にあったりするおそれがある。
・Googleなどの検索結果を操作する。その結果、攻撃者が関与する悪質なサイトを閲覧してしまい、別のウイルスに感染するおそれがある。
・Adobeや、セキュリティ関連のサイトにアクセスできないようにする。

 また、10月以降の攻撃でDaonol/Kates/Landoに感染したパソコンの一部では、「真っ黒の画面にマウスポインタだけが表示され、その後の操作ができない」という症状が発生している。これはウイルスのバグによって起こる現象だとみられているが、このウイルスが引き起こす厄介な症状であることに変わりはない。

 ただし、攻撃者はいつでもウイルスを新しいものに置き換えることができる。上記の症状が必ず発生するわけではないし、今後、まったく別の症状が起こることも予想される。
・盗み出されたFTPログイン情報からWebサイト改ざんに発展(トレンドマイクロ)
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20090618073737.html
・「GENOウイルス」対策について(G DATA)
http://gdata.co.jp/press/archives/2009/05/geno.htm
・Win32/Daonol[英文](Microsoft)
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fDaonol
・黒い画面にマウスカーソル (Win32/Daonol)(MSRC Blog)
http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx


(2009/12/11 ネットセキュリティニュース)

投稿情報: 10:04 |

|