デジタルマガジンが改竄されていた「/*GNU GPL*/」とは?

2009年12月30日

デジタルマガジン(digimaga.net)にGamblarらしき改竄が有った件。

改ざんされた日時はこちらのコメントに有る通り、12月27日13:53より前。12月28日14時頃には修正されていましたが、未だにデジマガでのアナウンス(お詫びなどの報告)が無いため予定を変更してネタにします。 12/29 13時頃にお詫びが掲載されました。

Gamblarとは、2009年春頃に大ブレイクしたトロイで、6月、9月そして今回は12月に亜種が流行しております。詳しい説明はウィルス対策を販売している各社にお任せですが、感染すると何が起こるのか簡単に流れ。

  1. パソコンAで改ざんされたWebページ(サイト)aを開く
  2. aに書かれた不正なコードをパソコンAが自動で実行してしまう
  3. パソコンAに入っているIDやパスワードを攻撃者へ勝手に伝える
  4. 攻撃者がパソコンAで管理されていたWebサイトb,c,d,e,f・・・を改ざん
  5. Webサイトb,c,d,e,f・・・にアクセスしたパソコンB,C,D,・・・へ感染

ウィルス(トロイの木馬)対策されていないなどのPCで改ざんされたWebサイトへアクセスすると感染し、ねずみ算式に広まって行くというものです。

まずい事にWebからの攻撃に対応していないフリーのウィルス対策ソフトや、パターンの供給が遅れたり解析の範囲(汎用)が甘いという理由で、対策ソフトをインストールしていても安心とは言えない事が有ります。

今回デジタルマガジンに貼られていたGamblarらしきものは、カスペルスキーやNOD32のようなPCに詳しい人間に支持されるものでは警告が有り、有名所のウィルス(スパイウェア)対策ソフトでは反応しなかったりも有ります。

と言うわけで改ざん中のデジマガに、twitterでお会いした有志と突撃。

 

ソースに有る「/*GNU GPL*/」とは?

改ざん真っ最中に保存したソースはこれです。

ソースのスクリプトに/*GNU GPL*/と書いてある

<script>/*GNU GPL*/ try{

から始まる部分でスクリプトが実行され、難読化されている為どこへ接続しているのか不明ですがデコードするとこうなります。

難読化されているJSをデコードして、以下のURLを呼び出す事を追証しました。参考までに。 adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080

やたら長いドメインですが、最後に有るポート8080を利用した攻撃のようで。

GNU GPLとは、ライセンス(著作権)を表すものですが、このソースで始まる改ざんはGamblarと見て間違い無いかと。アクセスするとページが真っ白になる事があるため、そういう状況に遭遇した時はソースを一応確認しましょう。

また、ページ全体を書き換えるものでは無く、ページの一部に書かれる事も有るそうで、こうなると見た目判らず、ウィルスやスパイウェア対策ソフトで検出される事を祈るしか有りません。

詳しく紹介されているブログが有ったので興味が有ればご参考あれ。

『/*GNU GPL*/』『/*CODE1*/』のウェブ改ざん - 無題なブログ - Yahoo!ブログ
http://blogs.yahoo.co.jp/noooo_spam/59304043.html

ソースを貼ると誤動作した時が怖いため画像としていますが、研究用としてソースをテキストで保存したので、そういうのが好きな人はダウンロードどうぞ。初心者や意味が判らない人は落としてはなりません。

  • https://btopc.jp/2009/12/29/gamblar-script.zip

zipパスワードはbiohazard、展開するとgamblar-scriptフォルダの中にdigimaga.net_2.txtが1つ現れます。

 

Gumblarに感染しない為に最低限やっておくこと

私は何も考えずデジマガに突撃してソースを拾って来ていますが、感染しない自信があったのでは無く、したらOSを再インストールする前提でアクセスしており普通はやってはなりません。

最低限やっておくことは。

  • Windowsアップデートを最新に保つ(特にXP)
  • Adobe Readerを最新版に保つ
  • Javaを最新版に保つ

Gamblarの亜種は検出しない事が有る為、上記は必須。

当然ながらウィルス対策やスパイウェアなどのセキュリティソフトは必ずインストールしている事です。修理現場では、使用期限が切れた状態で放置しているユーザがおられましたがご注意下さい。

Windowsアップデート

VistaやWindows7は自動更新されているはずですが、XPより古いものは設定により手動になっている事が有ります。XPはSP3、新しい更新が無くなるまでアップデートしましょう。

Microsoft Windows Update
http://windowsupdate.microsoft.com/

AdobeReader

GamblarはPDFファイルをダウンロードし、開いた直後にJavascriptを実行するらしいためAdobeリーダーのJavascriptは切った方が良さそうです。

最新バージョンのAdobe Readerのダウンロード
http://get.adobe.com/jp/reader/

Javascriptの切り方

Adobe Reader 9 のJavascriptをオフにする

Adobe Readerを開き、編集から環境設定を選択。

Adobe Reader 9 のJavascriptのチェックを外す

上から2番目のJavascriptを選択し、Acrobat Javascriptを使用するのチェックを外す。

(Sun)Javaの最新バージョン確認

ほとんどのPCに入っているであろう無料のJava、これも最新にするか不要ならアンインストールしましょう。不要かどうかを判断出来なければ最新へアップデートをお勧めします。

Java ソフトウェアのインストール状況の確認
http://www.java.com/ja/download/installed.jsp

 

実際に感染し改ざんされた場合の対応

感染すると管理下のWebサイトが改ざんされ、セキュリティの弱いパソコンは感染し、二次被害どころか延々と拡大して行きます。自衛するしか有りませんが、万一感染した場合の対処すべき手順。セキュリティソフトを常に最新パターンに更新しておくという前提で。

  1. 全てのネットワークから切断(LANケーブルを抜き、無線LANオフ)
  2. scriptが実行されない環境で別のPCからIDやパスワードを変更
  3. 同じく、別のPCから502を返しメンテナンス中という1ページを表示
  4. 同じく別のPCから改ざんされた部分を修正、または全て削除
  5. ウィルス対策ソフトでPC内の除去を試み、無理ならOS再インストール

このブログもご多分に漏れず、FTPを使用しアップロードしたり管理画面からログインしており万一の際には上記の手順を踏むことになります。

冒頭で書いた通り、デジタルマガジンにお詫びが掲載されました。

【お知らせ】デジタルマガジン、ページ不正改ざんについてのお詫び|デジタルマガジン
http://digimaga.net/2009/12/about-infection-to-the-gumblar-virus.html

謝罪、原因、対策まで詳細に書かれた良い文章と評価出来ます。 何が有ったのか流れを見ることが出来るため、サイト管理者は参考にされるとよろしいかと。

このブログ(BTOパソコン.com)は、業者のパソコンへVPNで接続しファイルを上げていますが、万全とは言えず他人事でもありません。万一感染した際にはメンテナンス中の画面が表示されるはずなので、自分のPCに感染していないかチェックして下さい。

上の3点、Windowsを最新、Adobeリーダ設定、SunのJava最新にしていれば感染率は大きく下がります。実際、この3つだけで突撃用ノートは感染しませんでしたが、ウィルス対策ソフトは必須です。

今月のオススメBTOパソコン

リンク用ソース

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

マウスコンピューター

高性能: ★★★★ 保証: ★★★

コスパ: ★★★★★ 安定: ★★★

初心者: ★★★★★

令和時代の鉄板スタンダードなPC初心者向けメーカー。標準構成のバランス感覚が突出しており、私でさえケチを付けることが滅多にできない。性能の下から上まで幅広く実用的。

パソコン工房

高性能: ★★★★ 保証: ★★

コスパ: ★★★★★ 安定: ★★

初心者: ★★★★

性能とパーツの相場がある程度わかる人なら標準構成が多いのでコスパ重視で選びやすい。同じに見える同じ価格でも仕様の違いがどうなのか判る人には最適。

ドスパラ

高性能: ★★★★ 保証: ☆☆

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★★

昔はドスパラ=BTOだったけれど最近は普通のパソコンに力を入れておらず、2018-2019年の偽インテルチップ中華SSDの件が未解決なので信用問題的に何とも言えない。

DELL

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★☆☆☆ 安定: ☆☆

初心者: ☆☆☆☆

10年以上前まではDELL=初心者向けの安いパソコン、それはもう通用しておりません。クーポン適用後が適正価格だと見抜けるパソコン詳しい人向け、または大人買いで割安になる法人向け。

日本HP

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★☆☆

コスパと性能以外にも見た目も重視したいならHPのノートも選択肢としてアリ。自社製造状態なのでBTO=ダサい印象は払拭されるかと。デスクトップは法人用、ゲーミングは海外向け。

TSUKUMO

高性能: ★★★★★ 保証: ☆☆

コスパ: ★★★★ 安定: ☆☆

初心者: ☆☆☆☆

昔のマニアックな感は無くなり家電通販のような普通のパソコン屋に。機種が少なく特徴的な少数精鋭状態なので選べる人を選ぶが、それにしても選びにくい。

FRONTIER

高性能: ★★☆☆☆ 保証: ☆☆☆

コスパ: ★★★☆☆ 安定: ☆☆☆

初心者: ★★★☆☆

フロンティア神代の解散後、現所長のパワハラがひどいとタレコミが複数あり、私から内情を運営会社へ伝えると逆ギレされて私を訴えるぞと謎すぎる返しがあり困惑中。

サイコム

高性能: ★★★★★ 保証: ★★★

コスパ: ★★★☆☆ 安定: ★★★

初心者: ☆☆☆☆☆

PC自作しない中~上級者向け、昔ながらの2chおっさん御用達な鉄板メーカー。動かない構成でも購入できるので初心者にはおすすめ不能。量産系BTOのようにコスパ悪くならないのでサイコムだけは自由なカスタマイズを激しくおすすめ。

※並びはBTOメーカーの知名度の順(暫定)で、大小関わらず信用できない要素があるメーカーは未掲載。

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
格安SIMなb-mobileを勝手に評価
格安SIMなLinksMateを勝手に評価

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。