「Gumblar.x/8080」の攻撃では、Adobe Readerなどのさまざまなソフトウェアの脆弱性攻撃を仕掛け、トロイの木馬を自動実行しようとする。
「Gumblar.x」では、Kates、Daonol、Landoなどとの名で検出されるのが、その本体で、自身をシステムのドライバ(現行はmidi9)に登録し、FTPのアカウント情報を盗み取ろうとする。昨年10月には、このウイルスの欠陥が原因で、感染パソコンの画面が真っ暗になって起動しなくなるという問い合わせが、各社のサポート窓口に殺到したこともあった。
Gumblar.xでインストールされるのは、この本体だけのようなので比較的軽症なのだが、8080の方は、そんな生易しい状況では済まないようだ。
8080のの攻撃では、Bredolab系のトロイの木馬を自動実行しようとする。このトロイの木馬自体は、他の不正なプログラムダウンロード/実行するのが主な役目であるため、感染パソコンに何をインストールするかは攻撃者の気分次第。
これまでにわかっていたのは、FTPパスワードの監視、FTPクライアントの設定情報収集、偽セキュリティソフトといったところだったが、トレンドマイクロやカスペルスキーの報告によると、他にもパスワードやメールアドレスの収集、スパムメールの送信、ボット、隠ぺい用のルートキットと、悪質なプログラムがどっさりインストールされるらしい。
ダウンロード機能やアップデート機能も持っているため、感染後もシステムをいじり放題。感染パソコンを感染前の状態に戻すのは、ほとんど絶望的と考えるのが賢明だ。
感染が確認された場合には、必要なデータをバックアップし、OSを再インストールするのが確実な方法といえるだろう。システムを購入時の状態に戻してしまうと、さまざまな再設定やソフトの再インストールを余儀なくされる。時間もかかり面倒ではあるが、実はこれが最も確実に、短時間で再スタートできる方法なのだ。
(2010/02/25 ネットセキュリティニュース)
■マルウェア解析の現場から-03 Gumblar攻撃(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/3340
■Gumblar 亜種に続く、Pegel 対策に関する留意点(カスペルスキーラブスジャパン)
http://www.kaspersky.co.jp/news?id=207578803