何やら新たな攻撃が始まっているようです。特徴を掴まえておこう。「Javaの脆弱性を悪用している」とありますから、Javaを最新のものにしておいた方がいいかもしれません。
国内100社以上で感染、「mstmp」などのファイル名で拡散する不正プログラム -INTERNET Watch
トレンドマイクロ株式会社は22日、「mstmp」や「lib.dll」といったファイル名で拡散する不正プログラムが出回っているとして注意喚起した。同社には14日以降、日本国内の企業100社以上から感染被害の報告が寄せられており、日本を標的とした攻撃である可能性も考えられるという。
トレンドマイクロによれば、攻撃の大まかな流れは以下の通り。
1)ユーザーが改ざんされた正規ウェブサイトを閲覧
2)正規サイト内に仕掛けられたコードによって不正サイトへリダイレクト
3)不正サイトから、Javaの脆弱性を悪用する不正プログラム「JAVA_AGENT.P」「JAVA_AGENT.O」をダウンロード
4)「JAVA_AGENT.P」「JAVA_AGENT.O」が「TROJ_DLOAD.SMAB」をダウンロード
5)「TROJ_DLOAD.SMAB」が「TROJ_DLOAD.SMAD」を作成
6)「TROJ_DLOAD.SMAD」が「TROJ_DROPPER」ファミリーの不正プログラムをダウンロード
7)「TROJ_DROPPER」ファミリーの不正プログラムが「TROJ_EXEDOT.SMA」を作成
8)さらに、「TROJ_EXEDOT.SMA」が不正なウェブサイトへ通信
正規のウェブサイトの改ざんによる「ガンブラー攻撃」でダウンロードされることが確認されている、ということで、ガンブラー攻撃が引き続き行われていることに注意です。偽セキュリティソフト「SecurityTool」の画像を良く確認しておくことが大事です。
日本語など25言語で表示する偽セキュリティソフトが見つかる -INTERNET Watch
日本語を含む25言語の表示に対応した偽セキュリティソフト「SecurityTool」が見つかった。トレンドマイクロ株式会社が5日に発表した、7月の「インターネット脅威マンスリーレポート」で明らかにした。
SecurityToolは、コンピューターの言語環境に合わせて表示言語が変わるのが特徴。メイン画面だけでなく、Windowsのバルーンチップの内容も変化するなど、「手の込んだものとなっている」。
偽セキュリティソフトは以前より、英語版が流通してから、さまざまな言語に翻訳されたものが出回る傾向があった。SecurityToolについても、英語版が2010年1月に確認されていた。
トレンドマイクロによれば、SecurityToolは、正規のウェブサイトの改ざんによって不正プログラムに感染する、いわゆる「ガンブラー攻撃」でダウンロードされることが確認されているという。
なお、SecurityToolは、セキュリティソフトを装うトロイの木馬「TROJ_FAKEAV」として検知されている。トレンドマイクロが発表する不正プログラム感染被害報告数ランキングでは、3月から5カ月連続でTROJ_FAKEAVがランクインしている。7月には17件の感染被害が報告された。
Adobe Reader/Acrobatを適宜アップデートするしかないね。私は、実行してます。「添付ファイルを実行させることでウイルスに感染させる」というのは、常套手段です!!
Gumblarも悪用するPDF攻撃ウイルス、G Dataが注意喚起 -INTERNET Watch
ドイツのG Data Softwareは10日、同社が提供するセキュリティ製品が4月に検出したウイルスの集計結果をとりまとめた。全世界でのべ約130万種類のウイルスを検出し、このうち全体の11.4%が、PDFの脆弱性を攻撃するウイルス「JS:Pdfka-OE」だったとして注意を呼びかけている。
PDF攻撃型ウイルスについてG Dataは、通常は有効になっているAdobe Reader/AcrobatのJavaScriptが狙われ、Gumblar(ガンブラー)攻撃にも悪用されていると指摘。対策としては、Adobe Reader/Acrobatを適宜アップデートするか、場合によってはJavaScriptを無効にすることも推奨している。
4月はこのほか、Yahoo!メールやHotmailなどのWebメールサービスを標的として、悪意のあるサイトへ誘導したり、添付ファイルを実行させることでウイルスに感染させ、そのPCをボット化する「Win32:Rodecap」が新たに確認された。全体では2位となる1.70%を占めた。
ガンブラー・ウイルスの脅威に晒されている今日この頃なんですが、レンタルサーバーを使って自分のウェブサイトを運営しているユーザーとしては、頭の痛い問題があります。もし、ウイルスに感染して、自分のサーバーに侵入され悪さを仕掛けられたら、閲覧してもらった人達にも悪い影響が及びかねないからです。
ウイルスにかからないよう自分が使っているソフトウエアーを極力アップデートしておくことは最低限行っています。問題は、FTP クライアントを使っている時に、ID とパスワードを盗まれることが一番恐いですね。
仮に FTP クライアントの ID とパスワードを盗まれても、FTPアクセス制限をかけることができればレンタルサーバーは安全です。特定の(自分の使っている IP アドレス)IP アドレスしか受け付けないようになっていれば、ID とパスワードを盗まれても自分のサーバーに侵入されることはないです。
最近知ったのですが、ハッスルサーバー には、そのような仕組みがあります。自分の使っている IP アドレスのみを登録して制限しておけば、ID とパスワードを盗まれても自分のサーバーに侵入されることはないです。今は、WordPress のブログしか運用していませんが、これで安心安全が確保されています。(ハッスルサーバーは、運用しやすいサーバーなんですが、Movable Type を使うには、混雑しすぎていて再構築しづらい、というのが私の経験談です)。
Read the rest of this entry »
「これらのマルウェアに感染した場合は、偽セキュリティソフトが起動する、意図せずJavaの起動画面が出る、PCの動作が不安定になる」ということを覚えておこう。
“Gumblar”ウイルスにDDoS攻撃を行う新種、JPCERT/CCが注意喚起 -INTERNET Watch
JPCERTコーディネーションセンター(JPCERT/CC)は28日、いわゆる“Gumblar”型の攻撃によって感染するマルウェアの中に、新たにDDoS攻撃を行うものが確認されたとして、注意喚起の文書を公開した。
JPCERT/CCでは、Gumblar型の攻撃によるWebサイト改ざんの報告が引き続き寄せられており、改ざんされたWebサイトを閲覧した場合に感染する危険のあるマルウェアの中に、国内外の企業や組織のサイトに対してDDoS攻撃を行うものが確認されたという。
現在、判明している攻撃の対象となるソフトウェアは、Adobe Reader/Acrobat、Flash Player、Java(JRE)、Windowsなど。JPCERT/CCが確認している範囲では、攻撃に使用されている脆弱性は既にパッチ提供済みのため、各製品を最新版の状態にアップデートすることでマルウェアの感染は防止できるとしている。
また、これらのマルウェアに感染した場合は、偽セキュリティソフトが起動する、意図せずJavaの起動画面が出る、PCの動作が不安定になるなどの状態になることがあり、感染が疑われる場合はネットワークから切り離して対処を行ってほしいとしている。
今、最も恐い「Gumblar」感染。この攻撃の実態を知るためにブログ記事にしておきます。
ボット、偽ソフト、ルートキット……「Gumblar」感染被害の実態 -INTERNET Watch
シマンテックは9日、一般的に「Gumblar(ガンブラー)」と呼ばれている攻撃の活動内容について、企業などのWebサイトが改ざんされる被害だけでなく、ボットや偽セキュリティソフト、ルートキットなどのマルウェアに感染するケースが多数発生しているとして、注意喚起を行った。
いわゆるGumblarとは、特定のマルウェアを指すものではなく、攻撃者が複数の手段を併用し、多数のPCにさまざまななマルウェアを感染させようとするために使う一連の手口のこと。改ざんされたWebページを閲覧すると悪意のあるWebページに誘導され、ウイルスがダウンロードされる。その際、PCのOSやアプリケーションに脆弱性が存在すると、そこを悪用されてマルウェアに侵入される。
新たな手法ということらしいのですが、レンタルサーバーにブログを設置している場合は、リダイレクトを使う場合も多いと思います。私もブログに「.htaccess」を設置しています。
「.htaccess」を不正アップロード、Gumblarが新たな改ざん攻撃 -INTERNET Watch
ラックは3日、いわゆるGumblar(ガンブラー)ウイルスによる新たなWeb改ざん攻撃について注意喚起した。Apacheの設定ファイルである「.htaccess」を不正アップロードする複数のGumblarウイルスを確認したという。
「FTPクライアントなどがPC内に保存しているアカウント情報を窃取する」というところが、私としては恐いです。FFFTP 1.96d を使っているのですが、この記事にも載っているので安心は出来ません。さくらインターネット を使っていますが、「ログイン履歴」を見ることが出来るので、自分のアクセスしている IP アドレスと違うものがないかどうか調べることができます。これを定期的に調べることによって安全が確認できます。更に、Gumblar[ガンブラー](複数の亜種を含む)ウイルスの感染拡大と対策のお願い を読んでみると、参考になるかもしれません。
気になるのは「Opera 10.10についても、Webブラウザーのアカウント管理機能を用いて保存されている情報をマルウェアが窃取し、外部に送信していることが確認されたという」このところです。Opera を愛用している私としては、非常に不安なところです。
PC内のFTPアカウント情報を盗み出すマルウェア、JPCERT/CCが注意喚起 -INTERNET Watch
JPCERT/CCは3日、いわゆる「Gumblar(ガンブラー)」攻撃に使用されているマルウェアを解析した結果、これまでに判明していた通信の盗聴機能に加え、FTPクライアントなどがPC内に保存しているアカウント情報を窃取する挙動を確認したとして、注意喚起を行った。
いわゆる「Gumblar」攻撃に使用されているマルウェアの中には、PCに侵入するとネットワークトラフィックを監視し、FTPアカウント情報を盗み出して、外部にアカウント情報を送信するものが確認されていた。
今回、JPCERT/CCが解析したマルウェアでは、FTPクライアントを含む複数の製品を対象として、PC内に保存されているアカウント情報を盗み出し、外部に送信する挙動を確認したという。対象となっていることが確認されたのは、以下のソフト。
レンタルサーバーを借りていて、ブログを運営しているので、気を抜かないでウイルス対策を気にかけていなければならないと思います。ある程度知っていても、下の記事を全部読んでおきました。
「Gumblarの手口を知り、対策を」IPAが注意喚起 -INTERNET Watch
現在、「Gumblar」と呼ばれている攻撃は、Webサイト改ざんとWeb感染型ウイルスを組み合わせて、多数のPCにウイルスを感染させようとする一連の手口のことを指している。まず、Web感染型ウイルスによって、Webページを閲覧したユーザーのPCがウイルスに感染し、感染したユーザーがWebサイトの管理者であった場合は、Webサイト管理用のIDとパスワードが盗み出される。このIDとパスワードによって管理しているWebサイトが改ざんされ、ページにWeb感染型ウイルスが埋め込まれ、さらにこのページを閲覧したユーザーがウイルスに感染する、といったサイクルで被害を拡大していると考えられている。
IPAでは、「セキュリティ対策が不十分なPCでは、Webサイトを閲覧するだけでウイルスに感染させられる」「有名企業のサイトが攻撃に使われる場合がある」「感染させられるウイルスは特定のものではなく、攻撃者がコントロールできるため、どのようなウイルスに感染させられるかわからない」という危険があると説明。ユーザーに対して、1)脆弱性の解消、2)ウイルス対策ソフトの導入、3)「ゼロデイ攻撃」への対策――の3点を対策として求めている。
略
ここ数日、私のブログに訪れる人の7割の人は、ウイルス「Gumblar」や「ガンブラー」をキーワードにして、検索で訪れています。いつもの日と比べてビックリするくらいの人が「Gumblar」で訪れています。とにかく自分が管理しているサイトを gredでチェック でチェックすることをお勧めします。
USBウイルスが常套化、「Gumblar」などWebからの脅威も続く -INTERNET Watch
トレンドマイクロは7日、2009年の不正プログラムの傾向と今後の対策に関する説明会を開催した。トレンドマイクロThreat Monitoring Centerの飯田朝洋氏は、ウイルス「Gumblar」の相次ぐ被害などに触れ、企業には「システム」「運用」「ユーザー」の3つのセキュリティレベルをすべて高めていくことが求められていると語った。