掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2010年01月30日
ガンブラーチェッカー 「GumblarChecker 2 rev141」
ガンブラー(Gumblar , Gumblar.x , ru:8080 など)の感染被害が後を断ちませんが、実際にどこが危ないかを確認する手段を探していて見つけたのが「GumblarChecker 2 rev141」のサイト。

http://gumblarchecker.crz.jp/
※URLが変わってバージョンが上がった様です。
GumblarChecker 2 rev142
http://gumblar.s1.dynamitelife.net/

ガンブラー感染を検証したいサイトのURLを入力して「調べる」ボタンを押すだけ。

このスクリプトを設置して利用条件としては下記の通り。
※ ライセンス表記はなくなった様です。
* Gumblar Checker 2
* Gumblar により改ざんされたウェブページを検出します.
*
* クリエイティブ・コモンズ 表示-継承ライセンスの下で利用可能です。
* http://creativecommons.org/licenses/by/2.1/jp/
*
* このソフトウェアは下記の環境で動作します
* PHP 5.2 以降
*
*/


スクリプトのソースはこちら

ひとまず動作確認のため自分の管理するサーバに設置。

※オリジナルのサイトでチェックしても良いのですが、いろいろな情報がサーバのログに残るので^^;

検出対象は、

"/*GNU GPL*/,/*CODE1*/,/*LGPL*/,/*Exception*/,.ru:"

となっていますが、新たなパターンが出てきている様なので常に最新の情報を追いかけておく必要はありそうです。

早速Googleのキャッシュに残っている感染サイトのURLを入力してみると...

※ウェブブラウザでGoogleのキャッシュを見る場合もJavaScriptは無効にしておかないと危険です。
自分はFirefox + No Scriptの環境。

こんな感じで警告してくれます!

gumblarchecker

自サイトのHTMLを見て感染を判断できない管理者の方には、この様なツールが無いとチェックは進まないでしょう。


追記:2010-02-17
その他
8080警報。:「どこに行こうが砂だけだぞ。」 さんの情報から
Gumblar Checker 3
http://gumblar.s1.dynamitelife.net/ver3/

Gumblar/8080 Checker
http://ec2-204-236-148-61.us-west-1.compute.amazonaws.com/

Gumblar.X CheckerBeta
http://gumblar.s1.dynamitelife.net/gumx/




[ 投稿者:Cookie at 09:08 | セキュリティー | コメント(0) | トラックバック(0) ]

2010年01月29日
ガンブラー(8080系)の埋込スクリプトの表記が変化
So-netセキュリティ関連ニュースによると、ガンブラー攻撃(8080系)による埋め込まれるJavaScriptの記述がまた変化しているとのこと。

運用しているサーバでも定期的に該当の文字列有無をチェックしているが、新たな検査パターンを用意しないと...

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2137

■埋め込みコードは無印に

 今回の変更では、「/*LGPL*/」や「/*Exception*/」といった記述がなくなり、 scriptタグの後から「try{window.onload=…」という感じで、いきなりスクリプトが記述されている。これまでのマークをキーワードに改ざんチェックをしていると、あっさり見過ごしてしまう。
 誘導先のドメインは相変わらずロシア(.ru)だが、ドメイン名には新たなものを導入。単純な文字置換で「.ru:8080」という文字列が出てこないように、難読化の手法も変更されている。おまけに、攻撃サイトを構成していたサーバーの構成も、5基のサーバー2系統での運用に変更と、あらゆる手を尽くして検出を逃れようとしているようだ。
 誘導先での攻撃自体には大きな変化はないが、改ざんページから攻撃用のJavaScriptまでは、28日朝現在、検出できるウイルス対策ソフトがなく、Adobe Readerの攻撃に使われる細工されたPDFファイルも検出できるソフトはまばら。
[ 投稿者:Cookie at 14:47 | セキュリティー | コメント(0) | トラックバック(0) ]

2010年01月19日
「.ru:8080」に感染して埋め込まれるスクリプト
8080

ガンブラー(Gumblar)亜種とも呼ばれて混同されている「.ru:8080」Web感染型マルウェアに感染したサイトのGoogle Cacheがあったので、JavaScriptオフで見てきました。

HTMLの末尾に下記の文字列から始まる難読化したスクリプトが埋め込まれています。

<script>/*LGPL*/ try{ window.onload = function()...省略

スクリプト全体は画像にしましたが、一応ぼかしを入れてあります。

解説は下記URLをどうぞ
相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115


改ざんページに挿入されるコードに見る「Gumblar」「Gumblar.x」「8080」
http://blogs.yahoo.co.jp/noooo_spam/59390697.html
[ 投稿者:Cookie at 17:04 | セキュリティー | コメント(0) | トラックバック(0) ]

【更新】Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
※1/22情報に更新がありました。

JPCERT/CCによると、
https://www.jpcert.or.jp/at/2010/at100004.txt

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

JPCERT-AT-2010-0004
JPCERT/CC
2009-01-18(初版)
2010-01-22(更新)


<<< JPCERT/CC Alert 2010-01-18 >>>

Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

Zero-day Vulnerability in Microsoft Internet Explorer

https://www.jpcert.or.jp/at/2010/at100004.txt


I. 概要

Microsoft Internet Explorer には未修正の脆弱性があります。この脆弱性
を使用された場合、結果として遠隔の第三者によって任意のコードを実行され
る可能性があります。
また、Microsoft 社では 2010年01月14日現在(米国時間)本脆弱性を使用する
限定的な攻撃を確認しており、JPCERT/CC でも本脆弱性を使用する実証コード
を確認しています。

マイクロソフト セキュリティ アドバイザリ (979352)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx


II. 対象

対象となる製品とバージョンは以下の通りです。
- Microsoft Windows 2000 SP4 上の Internet Explorer 6 SP1
- Windows XP SP2/SP3 上の Internet Explorer 6,7,8
- Windows Server 2003 SP2 上の Internet Explorer 6,7,8
- Windows Vista、Windows Vista SP1,SP2 上の Internet Explorer 7,8
- Windows Server 2008、Windows Server 2008 SP2 上の Internet Explorer 7,8
- Windows 7 上の Internet Explorer 8

詳細は、マイクロソフト セキュリティ アドバイザリ (979352)を参照して
ください。

*** 更新: 2010年01月22日追記 *************************************
Microsoft 社によると Microsoft Outlook、Microsoft Outlook Express お
よび Windows メールなどのメールソフトで安全でないセキュリティ設定をして
いる場合に、HTML 形式の電子メールを閲覧すると、本脆弱性の影響を受ける可
能性があります。
******************************************************************


III. JPCERT/CCによる検証結果
JPCERT/CC では、公開されている実証コードを検証し、以下を確認していま
す。

【検証環境】
Windows XP SP3 (2010年1月セキュリティ更新プログラム適用済み)
Internet Explorer 6.0.2900.5512

【検証結果】
上記環境にて実証コードを実行し、任意のプログラムが起動されることを
確認しました。また、DEP 機能を有効にすることで、任意のプログラムが
起動されないことを確認しました。

*** 更新: 2010年01月22日追記 *************************************
2010年01月22日に Microsoft 社よりセキュリティ更新プログラムが公開さ
れました。JPCERT/CC では本プログラムを適用後、実証コードが動作しな
くなることを確認しています。

【検証環境】
Windows XP SP3 (2010年1月セキュリティ更新プログラム および
KB978207 適用済み)
Internet Explorer 6.0.2900.5512
******************************************************************


IV. 対策

2010年01月18日現在、Microsoft 社より本件に関するセキュリティ更新プロ
グラムは公開されておりません。

*** 更新: 2010年01月22日追記 *************************************
Microsoft 社よりセキュリティ更新プログラムが公開されました。

Microsoft Update、Windows Update などを用いて、セキュリティ更新プログ
ラムを早急に適用してください。

Microsoft Update
https://update.microsoft.com/

Windows Update
https://windowsupdate.microsoft.com/

******************************************************************


V. 軽減策

本脆弱性に対して、Microsoft 社より以下の軽減策が公開されています。シ
ステムへの影響などを考慮の上、軽減策の適用を検討してください。(各軽減策
についての詳細は、マイクロソフト セキュリティ アドバイザリ (979352)を参
照してください。)

・Internet Explorer 6 SP2 または Internet Explorer 7 で DEP 機能を有
効にする。
※なお、古いパソコンを利用している場合 DEP が有効に出来ない場合が
あります。
・アクティブ スクリプトを無効にする
・Windows Vista およびそれ以降の Windows の Internet Explorer 7,8 の
保護モードを使用する。

*** 更新: 2010年01月22日追記 *************************************
セキュリティ更新プログラムをインストールすることで、以上の軽減策は不
要となります。
******************************************************************


VI. 参考情報

*** 更新: 2010年01月22日追記 *************************************
MS10-002
Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-002.mspx
******************************************************************

マイクロソフト セキュリティ アドバイザリ (979352)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx

JVNVU#492515
Microsoft Internet Explorer において任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU492515/index.html

IPA
修正プログラム提供前のぜい弱性を悪用したゼロデイ攻撃について
http://www.ipa.go.jp/security/virus/zda.html


今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2010-01-18 初版
2010-01-22 更新プログラムのリリースと再検証結果について追記


======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJLWRBLAAoJEDF9l6Rp7OBIJygH/iz2X24VOMtYklnzXnoByyGs
hTTg7rLXEH9xXzRi8JgOD1zZR9tU6jQgG/8vRsZNIPo8XSFJ68SfhYr7n6l+YAJ0
X4CnbP6K5fcjMYfhuHBPe/frakiO7gHUaf2s4tD57/xUOc7AA6dHIayr5UB2dEmZ
qqUpQEpl0nMhdovARD8YvRbm0i7dtdKuD8LHkZjiw+r1imcGzNSj5e49Hdg2VsEf
UV1Ub0j1dPne+CFfU75osOg7vmlz1b18yEurlNjHIkQLyRfYE+O5J6H9ZhQMfs9X
ZB6n1y2sqJhD0siiY+dwn8Ey9DwJYKkycBgaU1l+AdP7qvblXjcvnGfFYLACmWw=
=xs6w
-----END PGP SIGNATURE-----



※情報の正確性を確保するため全文引用しています。

[ 投稿者:Cookie at 08:12 | セキュリティー | コメント(0) | トラックバック(0) ]

2010年01月18日
ドイツ連邦安全保障局はIE以外のブラウザを使うよう国民に勧めた!
中国政府が攻撃に関与していると問題になっているGoogleのGmail攻撃で利用されたIEの脆弱性をつくコードが出回っているとのこと。

http://japan.cnet.com/news/sec/story/0,2000056024,20406790,00.htm?ref=rss
 MicrosoftとMcAfeeは米国時間1月15日、Googleなどの企業を対象とする中国発の攻撃で悪用された「Internet Explorer(IE)」のゼロデイホールについて、それを突くエクスプロイトコードがインターネット上に出回っている、と警告した。

 一方、ドイツの連邦安全保障局は15日、声明を発表し、パッチが公開されるまではIE以外のブラウザを使うよう国民に勧めた

さて日本の当局はどんな対応をとるのでしょうか?
[ 投稿者:Cookie at 13:07 | セキュリティー | コメント(0) | トラックバック(0) ]

2010年01月13日
Gumblar系ウェブウィルス情報
感染を広げているGumblar系ウェブウィルスによるウェブページの改竄が多発しているので、関連ニュースをまとめてリンクしておきます。

追記:201-01-18
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115
相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」

■「Gumblar亜種」と「ガンブラー」が招く困った事態

 上記のヤフーのリリースとリユースプロデュースのリリースを見ると、両方でウイルス名として「Gumblar(ガンブラー)亜種」という名称が使われている。そのため、両サイトが同じ攻撃により改ざんされたように見えてしまう。ところが実際は、Yahoo!占いのサイトを改ざんした攻撃と、リユースプロデュースのサイトへの攻撃は別物だ。

 Yahoo!占いの改ざんは2009年10月に攻撃が始まった「Gumblar.x」によるもので、リユースプロデュースの改ざんは、2009年12月から急速に拡大し、現在猛威をふるっている新手の改ざん攻撃によるものである。


追記:2010-01-18
http://blogs.yahoo.co.jp/noooo_spam/59390697.html
改ざんページに挿入されるコードに見る「Gumblar」「Gumblar.x」「8080」

http://blogs.yahoo.co.jp/noooo_spam/58899747.html
 何だか不正なコードが変わり始めてますなぁ。インラインフレームのonload属性にJavaScriptタグを用意して飛ばすスタイル。


http://journal.mycom.co.jp/news/2010/01/10/008/
年末年始にかけて多数のWebサイトが改ざんの被害を受けている「Gumblar(ガンブラー)」ウイルスだが、ヤフーでも9日、同社運営の「Yahoo!占い」内のコンテンツで不正アクセスによる改ざんを確認したと発表した。


http://journal.mycom.co.jp/news/2010/01/12/057/index.html
シマンテックは1月12日、報道関係者に対し、企業のWebサイトを改竄しているのは「ガンブラー」という攻撃だとするここ数日の報道について、昨年5月に騒がれた「ガンブラー」との関係性は低いとする見解を明らかにした。


http://www.itmedia.co.jp/news/articles/1001/08/news085.html
 Gumblarウイルス(別名:GENOウイルス)が年末年始にかけて猛威を振るっている。JR東日本、ローソン、ハウス食品、本田技研工業、モロゾフなどがそれぞれ、サイトが改ざんされユーザーがGumblarウイルス亜種に感染した恐れがあると発表。JPCERT/CCやIPAも、ユーザーやサイト管理者に改めて注意を呼び掛けている。


http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523.html
 JPCERT/CCや米US-CERT、各セキュリティソフトベンダーなどが、「Webサイトに悪意のJavaScriptが埋め込まれる攻撃が4月半ばから多発している」と警告している。

 この攻撃は、活動の拠点となっているサイトのURLから「Gumblar」と名付けられている。日本のユーザーの間では、被害に遭った通販サイトの名称から「GENOウイルス」といった名称でも呼ばれている。特徴としては、感染サイトの広がりが非常に速く、英Sophosでは「これまでに最も流行した攻撃の6倍ものペースで感染サイトを増やす猛威を振るっている」と報告している。


http://www.lac.co.jp/info/alert/alert20091119.html
LACのセキュリティ監視センターJSOCでは、お客様の内部ネットワークからの「Critical」(お客様環境において重大なセキュリティ上の脅威が発生している状態)検知が急増しており、Gumblar(別名: JSRedir-R)およびその亜種に関する大量の感染事例が確認されたため、本日、注意喚起を公表します。


http://blog.f-secure.jp/archives/50334036.html
Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。


http://www.mcafee.com/japan/security/gumblar.asp
Gumblar(ガンブラー)は、日本では別名GENOと呼ばれ、Webサイトに対して不正に挿入された難読化スクリプトやそれによって次々にダウンロードされるマルウェアからなる一連の脅威の総称です。
Gumblar(ガンブラー)の感染は、ユーザが不正にiframeを埋め込まれたWebサイトを閲覧することから始まります。次にIframeにより難読化されたJavaScriptが実行され、『Internet Explorer』 『Adobe Acrobat』 『Adobe Reader』 『Adobe Flash Player』の脆弱点を悪用され、その脆弱性によりパスワードスティーラーをはじめとしたマルウェアが最終的にインストールされます。


http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
 Webサイトを改ざんし、閲覧者をウイルスに感染させるための悪質なコードを仕掛ける、通称「Gumblar」。春に猛威をふるい、その後しばらく静かにしていたGumblarが10月に攻撃活動を再開したことや、春の攻撃と10月以降の攻撃での相違点については、本通信でも何度かお伝えしてきたところだ。Gumblarによる被害は、現在も拡大し続けている。被害にあわないために、後に挙げる予防策をしっかり実行していただきたい。


http://www.iza.ne.jp/news/newsarticle/it/internet/344683/

 セキュアブレインによると、GumblarによるWeb改ざんは2009年5月から多発しているが、10月から12月にかけて増大したという。同社先端技術研究所の調査では、7〜9月は299件だったが、10〜12月は1427件と、4倍以上に増加した。


http://itpro.nikkeibp.co.jp/article/Watcher/20091124/340899/?SS=imgview&FD=-926911839

図2●Gumblarによるウイルス感染のしくみ。図はトレンドマイクロが作成。セキュリティ・ベンダーによっては,正規サイトに埋め込んだ不正なコード自体をGumblar(図内はJS_GUNBURL)と呼ぶ。本文の説明では,一連の流れをGumblarとした。


[ 投稿者:Cookie at 09:20 | セキュリティー | コメント(0) | トラックバック(0) ]

2010年01月05日
SpamAssassinのFH_DATE_PAST_20XX ルール


スパム判定されたメールを確認していたところ、通常ならば「スパム」にはならないメールがスパム判定されていたので調査。

FH_DATE_PAST_20XX のルールでスコアが「3.2」も加算されている...

このルールを調べると、未来の日付で送信されるスパム対策らしいが、当時は「未来」であった2010年がスパムの判定基準だったらしい。

SpamAssassinのFH_DATE_PAST_20XX

SpamAssassin公式サイト トップページのアナウンス

SpamAssassinのMLでも情報が流れていることを確認...

ひとまず該当ルールのスコアを「0.0」に設定してから、誤判定していたメールを救済して完了。

[ 投稿者:Cookie at 10:55 | SPAM対策 | コメント(0) | トラックバック(0) ]