■ガンブラー (Gumblar) とは
ガンブラー (Gumblar) は、2009年5月頃から急激に被害が拡大した、Web経由でマルウェアをダウンロードさせる攻撃の一種です。
ガンブラー関連マルウェアに侵入されたマシンが管理しているWebサーバに JavaScript による攻撃コードを仕掛け、ホームページを
改ざんします。
改ざんされたホームページには、アクセスしてきたマシンを悪意あるWebサーバにリダイレクトさせるためのリンクが埋め込まれます。
リダイレクト後の別サーバには、実行形式のファイル、PDF、Flash などのプラグインの脆弱性を突くマルウェアが仕掛けられおり、
ユーザのマシン上でこのサイトを閲覧するとマルウェアがダウンロードされてしまいます。
また、ガンブラーの異なる攻撃手法としては、侵入したマシンのネットワーク通信を監視し、そのユーザが FTP を使用してWebサーバ
を管理している場合、そのWebサーバへのアクセス用IDおよびパスワード情報を盗み出します。そして、その情報を利用して
ホームページを改ざんし、別のマルウェアを埋め込みます。
埋め込まれるマルウェアの種類は、ガンブラー関連マルウェアの亜種によって異なります。
まず、侵入したマシンのWebブラウザの挙動を操り、検索エンジンの検索結果に悪意あるサイトへのリンクなどを表示させるタイプが
あります。また、外部からユーザのマシンを操作するためのバックドアを仕掛けるタイプや、ダウンローダを埋め込みさらに別の
スパイウェアや偽セキュリティソフトなどを強制的にインストールするタイプも存在します。
予防策として、下記のような多段的な対策が必要となります。 |
- ブラウザのスクリプトの実行機能や ActiveX を無効化する
- OSのサービスパック、およびOSパッチを最新の状態にアップデートする
- PDF や Flash などのバージョンを最新の状態にアップデートする
- FTP を使用するマシンのアクセス用パスワードを短期間で変更する
- FTP よりもセキュリティが強固な SFTP などを使用する
【参考情報】
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する
注意喚起(JPCERT/CC)
|
| |
■AntiMalware v5 によるガンブラー (Gumblar) 対策
|
AntiMalware は、ガンブラー (Gumblar) 関連のマルウェアを下記の悪性コード名で検知・駆除することが可能です。 |
- V.TRJ.Daonol.xxxx
- V.DWN.Bredolab.xxxx
- Trojan.Script.xxxx
- Exploit.PDF-JS.Gen
(xxxx の部分は、亜種によって表記が変動します)
しかしながら、数多くのガンブラー関連マルウェアの新しい亜種が作成され猛威を振るっており、大手企業のホームページが次々と
改ざんされたり、そのホームページへのブラウジングに起因して別のマルウェアに侵入されるなど、被害が拡大しています。
アークン スパイウェアリサーチセンターでは、随時、新しい亜種を速やかにマルウェアデータベースに追加しています。
|
|
| |
■ガンブラー (Gumblar) 関連マルウェアの侵入確認方法
- ここから「AntiMalware-AV 機能制限付評価版」をダウンロード
してください。
※AntiMalware の製品詳細はこちら
- 「AntiMalware-AV 機能制限付評価版」をPCにインストールしてください。
※要インターネット環境
- 「AntiMalware-AV 機能制限付評価版」のアップデートを実行し、マルウェアデータベースを最新の状態にしてください。
- 「AntiMalware-AV 機能制限付評価版」を起動して「詳細スキャン」タブを開き、「スタート」ボタンをクリックしてPCをスキャン
してください。
- スキャン完了後、悪性コード名「V.TRJ.Daonol.xxxx」「V.DWN.Bredolab.xxxx」「Trojan.Script.xxxx」「Exploit.PDF-JS.Gen」
のガンブラー関連マルウェア、およびガンブラーの攻撃によって侵入した他のマルウェアが検知されていないかどうか、確認してください。
アークン スパイウェア リサーチセンター では、急増するガンブラー関連マルウェアの問題に取り組み、より安全で快適な
インターネット環境に寄与するために、新しい亜種の調査に関して広く皆様の情報提供を募ります。
調査にご協力頂ける方は、ここから「AntiMalware-AV 機能制限付評価版」
をダウンロード・インストール後、下記の方法で当センターまでレポートください。
【ガンブラー情報のレポート方法】
- 「AntiMalware-AV 機能制限付評価版」を起動してください。
- メインの画面左側「レポート」ボタンをクリックして開いてください。
- 「システム情報収集の確認」をお読みになり、ご同意ください。
- 「タイトル」欄に「ガンブラー情報」とご記入いただき、「内容」欄に環境、状況(発病症状)、問題の再現方法などを
できるだけ詳細にお書きください。
- ガンブラーの亜種の可能性があると思われるファイルがあれば、「ファイル添付」の「参照」ボタンをクリックして検体を
添付してください。
- 回答が必要な場合は、「E-MAIL」欄にお名前とメールアドレスをお書き添えください。
【ご注意】
- 弊社は、このレポート機能をマルウェア(不正プログラム、悪性コード)の調査目的のみで使用し、それ以外の目的で使用することはありません。
- 混雑が予想されますので、回答を依頼された場合にでも、回答にはお時間がかかる場合がございます。
- 本サービスはレポート機能による受付のみとなります。タイトル欄に「ガンブラー情報」と必ずご記入お願い致します。ご記入のないものは受付対象外とさせていただきます。また、電話、FAXでの対応は致しておりません。
- 「AntiMalware-AV 機能制限付評価版」は、スパイウェア、ウイルス、グレーツールなどのマルウェアを検出しますが、隔離、
削除の機能は制限されています。
- 本サービスは、新種スパイウェアなどのマルウェアの収集と分析を主目的にしており、製品に反映することで、ユーザ様で発生している問題や、同じ問題でお困りのユーザ様に利益をもたらすものです。よって、ユーザ様各々の諸問題へのソリューションを個別にお約束するものではありません。
●スパイウェアについて詳細はこちら
|
|
