Gumblar(GENOウィルス)亜種のQA風まとめ
2010年1月7日
大事なところをQA形式で残しておきます。
Q. URLを踏んだだけで感染するのですか?
いくつか感染ルートがある中のひとつに、Adobe Reader の脆弱性を突いたものがあって、
これが悪いことに、最新アップデートをしても防げない状態です。
(いわゆるゼロデイ攻撃状態)
Adobe Reader をインストールしてなかったり、
オプションをいじってる人は大丈夫な可能性もあるけど、
ほとんどの人が条件に当てはまると思います。
引用) http://pc11.2ch.net/test/read.cgi/sec/1259607683/
405 :名無しさん@お腹いっぱい。:2010/01/06(水) 01:32:24 今北さん用、GENO(Gumblar)ウイルス対処法。 行っておくべき事項を箇条書きにしました。 細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする (2)Adobe Readerを最新版に更新する (3) Adobe ReaderのAcrobat JavaScriptを無効に設定 (4) JRE(Java Runtime Environment)を最新版に更新する (5) Flash Playerを最新版に更新する (6) QuickTimeを最新版に更新する (1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。 攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。 Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。 Acrobat JavaScriptを無効にする方法は以下の通り。 (1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択 (2)「分類」の中の「JavaScript」を選択 (3)「Acrobat JavaScriptを使用」のチェックをクリア (4)「OK」ボタンを押す
Q. 感染の確認方法は?
多分、各社のウィルス対策ソフトはもう対応してると思うので、とりあえずは手持ちの奴でどうぞ。
イマイチ信用ならないなら、今回は対応が良さそうなKasperskyが、以下の無料サービスをやっているので、合わせてやっとけばいいかなと思います。
オンラインスキャン(配布はnifty):
http://www.nifty.com/security/vcheck/index.htm
クライアントインストール型ウィルススキャン:
http://support.kaspersky.com/faq/?qid=208280701
Q. 感染してたらどうする?
または、神田川にPCを投げ込むといいと思います。
特にやってはいけないことは、「FTPでWebサイトを更新する」こと。
Q. Gumblar(ガンブラー)の「亜種」?「GENOウィルス」「8080」??
その俗称が「GENOウィルス」で、つまり二つは同じことを指してます。
ただ、上記は今年の春に流行ったもので、厳密には今回のものとは違います。
で、とりあえず公式名が無いので、今回のものは「Gumblar亜種」と呼ばれているようです。
で、「8080」「8080系」ってのが、その「Gumblarの亜種」の俗称です。
引用)http://pc11.2ch.net/test/read.cgi/sec/1259607683/
524 :名無しさん@お腹いっぱい。:2010/01/07(木) 13:01:24 >>513 >>519 のとおり。補足すると LACが11月に 【注意喚起】Gumblarおよびその亜種に関する大量の感染事例について ttp://www.lac.co.jp/info/alert/alert20091119.html を出し(これはGumblar.x)、その後「続報」として(一部使いまわして) 【注意喚起】Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認 ttp://www.lac.co.jp/info/alert/alert20091225.html を出した(これは8080)。 JR東日本やホンダは(IPAやJPCERTでは具体名を出していないのでこれを元に) 「Gumblar亜種」との告知を作り、新聞社は「亜種」を外し、後はみんなコピペ、だと思う。
ちなみに、”8080″の由来は、
ウィルス設置サイトへアクセスする際のポートが8080だからです。
自分が実際のJSのスクリプトを見て確認したURLだと以下だった。
microsoft-com.sendspace.com.google-co-jp.superaguide.ru:8080/(下に続く) wikipedia.org/wikipedia.org/www.net.cn/google.com/tomshardware.com/ ※リンクとして踏んじゃだめですよ! ※URLは色々なパターンがあるみたい
Q. どのニュースが「亜種」によるもの?
国内60サイト以上が改ざん、Gumblar亜種が台頭か
http://headlines.yahoo.co.jp/hl?a=20091023-00000030-zdn_ep-sci
・・・と、この頃から始まっており・・・
JR東サイト改ざんウイルス、ホンダなども被害
http://headlines.yahoo.co.jp/hl?a=20100105-00000745-yom-soci
ローソンの採用サイト改ざん 閲覧者にGumblarウイルス感染の恐れ
http://www.itmedia.co.jp/news/articles/1001/06/news083.html
・・・は、既に二次三次被害になってるのでは?
という感じです。
Q. 参考サイトは?
2chの関連スレが良さそうです。
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/