またもや国内で相次いだWeb改ざん - 止まらないGumblarへの対策を考える:ITpro(情報元のブックマーク数)
ガンブラー飽きた。でもTrendmicroさんがガンブラー解析ネタ。
初期ガンブラー
改ざんによって「JS_GUMBLAR」,「JS_AGENT」といったスクリプトを埋め込まれたWebサイトにユーザーがアクセスすると,このスクリプトが勝手に不正Webサイトに接続する。すると不正サイトから,Adobe Readerのぜい弱性を悪用するウイルス(TROJ_PIDIEFファミリ)などを自動ダウンロードし,さらに異なる不正Webサイトに誘導。別のウイルス(TROJ_SEEKWELファミリ)をダウンロードする。このウイルスがFTPのアカウント情報を奪い取る。
またもや国内で相次いだWeb改ざん | 日経 xTECH(クロステック)
第2世代ガンブラー
Gumblar攻撃は一時収まったように見えたが,2009年10月ころから再び注目を浴びるようになった。一連の動作は2009年4月に流行した攻撃と同様だったものの,誘導される不正Webサイトが以前とは異なり,送り込まれる不正ファイルもダウンローダ型からドロッパー型(ある不正ファイルが実行されることで別の不正ファイルを作成する)に変わっていた。さらに2009年12月ころの攻撃では,悪用するぜい弱性も変わった。トレンドマイクロでは,情報詐取の手段として偽セキュリティ・ソフトのインストールを行う動作を確認している(図2)。
またもや国内で相次いだWeb改ざん | 日経 xTECH(クロステック)
対策は今まで通り変わらない。
Gumblar攻撃に特有の方法があるわけではない。例えばエンドユーザー向けの対策として有効なのは,(1)パッチ・プログラムの適用によるぜい弱性の解消,(2)ウイルス対策製品を最新の状態に更新,(3)Webレピュテーションの利用の三つである(図3)。それぞれを組み合わせ,エンドユーザーの対策を徹底することが重要である。
またもや国内で相次いだWeb改ざん(2ページ目) | 日経 xTECH(クロステック)
