大阪 堺筋本町のコンサル

大阪の堺筋本町に本社を構えるテレワークのコンサルタント部4人が運営するブログです。自らに毎週(月水金)と画像を添付するという条件を課しました!

スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[ --/--/-- --:-- ] スポンサー広告 | トラックバック(-) | コメント(-)

Gumblar(ガンブラー)って何? 

こんにちは。システム担当大野です。

年末年始のIT系のニュースではよくこのウイルスの話題があがっていました。

簡単に言うと、このウイルスにかかると企業のHPが改ざんされてしまうというものなのですが、具体的にどういうものなのか良く分からなかったので調べてみました。

Gumblar 【ガンブラー】

読み方 : ガンブラー
別名 : JSRedir-R, GENOウイルス
分野 : セキュリティ > ウイルス/ワーム > Gumblar

Gumblarとは、2009年5月から急激に感染が拡大したコンピュータウイルスの一種。「GENOウイルス」という通称は国内で早期に感染したパソコンの通販サイトからついたもので、ウイルス対策ソフトベンダーなどでは「Gumblar」や「JSRedir-R」の名称で呼んでいる。

IT用語辞典より抜粋

---

辞典によれば、上記のような説明なのですが、結果としてはこれにより企業のHPが多数改ざんされています。どのような手順でそのようなことが起こるのでしょうか?

1.誰かが悪意のあるサイトを公開する。→見た人のマシンにウイルスを仕込む

 悪い人(Aさん)が、ウイルスを仕組んだHPを公開します。そのウイルスは「GENOウイルス」というもので、以下の特徴があります。
 ・ソースの上のほうに暗号化されたscriptタグが埋め込まれている。
  埋め込まれたタグ

 ・これの中身はiframeタグで、HPを開いただけでcgiを実行し、HPを閲覧している人(Bさん)のマシンにウイルスをコピーしてしまう。

2.もしBさんがサイトの管理者であれば、Bさんの管理しているサイトにそのウイルスをコピーする。

 もしBさんが、サイト(HP)の管理者であったならば、更新のためにFTPというソフトを使っている可能性が高いです。「GENOウイルス」はFTPの脆弱性を突いて、WebサーバにアップするためのIDとパスワードを盗み出してしまいます。
 さらに「GENOウイルス」は、そのIDとパスワードを使って管理されているサイトのindex.htmというファイルに暗号化されたscriptタグをコピーして埋め込んでしまいます。

3.今度はBさんの管理しているサイトを見た人のマシンにウイルスがコピーされる。

  ・
  ・
  ・

と、言うようにいったん感染を始めた「GENOウイルス」はどんどん広がってしまいます。

この一連の流れをするウイルスを「Gumblar(ガンブラー)」と呼んでいるようです。

まあ、サイトを見た人がFTPを使っていなければ広がりはしないのですが、FTPを使っていると広がってしまいます。

また、自分の会社が感染したとしても、そのindex.htmの中身まで逐一確認しないと自分のサイトが感染源になってしまっていることに気づかないのも特徴です。

対策としては3つ。

1.Windows、Officeのアップデート、パッチの適用
2.サードパーティ製品(adobeなど)のパッチの適用
3.ウイルス対策ソフトのアップデート、パッチの適用

 上の例ではcgiが実行されることによりウイルスに感染していたのですが、
この年末年始のウイルスはAdobe ReaderやFlash Playerの脆弱性を突いたJavaScriptコードが実行されたそうです。Adobe ReaderやFlash Playerの最新版を用いていないユーザーが改竄されたWebサイトを閲覧すると、Gumblarに感染していたそうです。

今回はサイバーエージェントやヤフーなど有名サイトが感染したことで有名になりましたが、このウイルスは誰でもかかる危険性があります。

対策は当たり前のことを当たり前に行うしかありません。

気をつけたいものです。

スポンサーサイト
コメントの投稿













管理者にだけ表示を許可する


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。