ガンブラー (Gumblar) とは

ガンブラー (Gumblar) は、2009年5月頃から急激に被害が拡大した、Web経由でマルウェアをダウンロードさせる攻撃の一種です。 ガンブラー関連マルウェアに侵入されたマシンが管理しているWebサーバに JavaScript による攻撃コードを仕掛け、ホームページを 改ざんします。 改ざんされたホームページには、アクセスしてきたマシンを悪意あるWebサーバにリダイレクトさせるためのリンクが埋め込まれます。 リダイレクト後の別サーバには、実行形式のファイル、PDF、Flash などのプラグインの脆弱性を突くマルウェアが仕掛けられおり、 ユーザのマシン上でこのサイトを閲覧するとマルウェアがダウンロードされてしまいます。

また、ガンブラーの異なる攻撃手法としては、侵入したマシンのネットワーク通信を監視し、そのユーザが FTP を使用してWebサーバ を管理している場合、そのWebサーバへのアクセス用IDおよびパスワード情報を盗み出します。そして、その情報を利用して ホームページを改ざんし、別のマルウェアを埋め込みます。
埋め込まれるマルウェアの種類は、ガンブラー関連マルウェアの亜種によって異なります。 まず、侵入したマシンのWebブラウザの挙動を操り、検索エンジンの検索結果に悪意あるサイトへのリンクなどを表示させるタイプが あります。また、外部からユーザのマシンを操作するためのバックドアを仕掛けるタイプや、ダウンローダを埋め込みさらに別の スパイウェアや偽セキュリティソフトなどを強制的にインストールするタイプも存在します。

予防策として、下記のような多段的な対策が必要となります。

【参考情報】
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する 注意喚起(JPCERT/CC)

AntiMalware によるガンブラー (Gumblar) 対策

AntiMalware は、ガンブラー (Gumblar) 関連のマルウェアを下記の悪性コード名で検知・駆除することが可能です。

しかしながら、数多くのガンブラー関連マルウェアの新しい亜種が作成され猛威を振るっており、大手企業のホームページが次々と 改ざんされたり、そのホームページへのブラウジングに起因して別のマルウェアに侵入されるなど、被害が拡大しています。

アークン スパイウェアリサーチセンターでは、随時、新しい亜種を速やかにマルウェアデータベースに追加しています。

スパイウェアについて詳細はこちら