デジタルマガジンが改竄されていた「/*GNU GPL*/」とは?

2009年12月30日

デジタルマガジン(digimaga.net)にGamblarらしき改竄が有った件。

改ざんされた日時はこちらのコメントに有る通り、12月27日13:53より前。12月28日14時頃には修正されていましたが、未だにデジマガでのアナウンス(お詫びなどの報告)が無いため予定を変更してネタにします。 12/29 13時頃にお詫びが掲載されました。

Gamblarとは、2009年春頃に大ブレイクしたトロイで、6月、9月そして今回は12月に亜種が流行しております。詳しい説明はウィルス対策を販売している各社にお任せですが、感染すると何が起こるのか簡単に流れ。

  1. パソコンAで改ざんされたWebページ(サイト)aを開く
  2. aに書かれた不正なコードをパソコンAが自動で実行してしまう
  3. パソコンAに入っているIDやパスワードを攻撃者へ勝手に伝える
  4. 攻撃者がパソコンAで管理されていたWebサイトb,c,d,e,f・・・を改ざん
  5. Webサイトb,c,d,e,f・・・にアクセスしたパソコンB,C,D,・・・へ感染

ウィルス(トロイの木馬)対策されていないなどのPCで改ざんされたWebサイトへアクセスすると感染し、ねずみ算式に広まって行くというものです。

まずい事にWebからの攻撃に対応していないフリーのウィルス対策ソフトや、パターンの供給が遅れたり解析の範囲(汎用)が甘いという理由で、対策ソフトをインストールしていても安心とは言えない事が有ります。

今回デジタルマガジンに貼られていたGamblarらしきものは、カスペルスキーやNOD32のようなPCに詳しい人間に支持されるものでは警告が有り、有名所のウィルス(スパイウェア)対策ソフトでは反応しなかったりも有ります。

と言うわけで改ざん中のデジマガに、twitterでお会いした有志と突撃。

 

ソースに有る「/*GNU GPL*/」とは?

改ざん真っ最中に保存したソースはこれです。

ソースのスクリプトに/*GNU GPL*/と書いてある

<script>/*GNU GPL*/ try{

から始まる部分でスクリプトが実行され、難読化されている為どこへ接続しているのか不明ですがデコードするとこうなります。

難読化されているJSをデコードして、以下のURLを呼び出す事を追証しました。参考までに。 adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080

やたら長いドメインですが、最後に有るポート8080を利用した攻撃のようで。

GNU GPLとは、ライセンス(著作権)を表すものですが、このソースで始まる改ざんはGamblarと見て間違い無いかと。アクセスするとページが真っ白になる事があるため、そういう状況に遭遇した時はソースを一応確認しましょう。

また、ページ全体を書き換えるものでは無く、ページの一部に書かれる事も有るそうで、こうなると見た目判らず、ウィルスやスパイウェア対策ソフトで検出される事を祈るしか有りません。

詳しく紹介されているブログが有ったので興味が有ればご参考あれ。

『/*GNU GPL*/』『/*CODE1*/』のウェブ改ざん - 無題なブログ - Yahoo!ブログ
http://blogs.yahoo.co.jp/noooo_spam/59304043.html

ソースを貼ると誤動作した時が怖いため画像としていますが、研究用としてソースをテキストで保存したので、そういうのが好きな人はダウンロードどうぞ。初心者や意味が判らない人は落としてはなりません。

  • https://btopc.jp/2009/12/29/gamblar-script.zip

zipパスワードはbiohazard、展開するとgamblar-scriptフォルダの中にdigimaga.net_2.txtが1つ現れます。

 

Gumblarに感染しない為に最低限やっておくこと

私は何も考えずデジマガに突撃してソースを拾って来ていますが、感染しない自信があったのでは無く、したらOSを再インストールする前提でアクセスしており普通はやってはなりません。

最低限やっておくことは。

  • Windowsアップデートを最新に保つ(特にXP)
  • Adobe Readerを最新版に保つ
  • Javaを最新版に保つ

Gamblarの亜種は検出しない事が有る為、上記は必須。

当然ながらウィルス対策やスパイウェアなどのセキュリティソフトは必ずインストールしている事です。修理現場では、使用期限が切れた状態で放置しているユーザがおられましたがご注意下さい。

Windowsアップデート

VistaやWindows7は自動更新されているはずですが、XPより古いものは設定により手動になっている事が有ります。XPはSP3、新しい更新が無くなるまでアップデートしましょう。

Microsoft Windows Update
http://windowsupdate.microsoft.com/

AdobeReader

GamblarはPDFファイルをダウンロードし、開いた直後にJavascriptを実行するらしいためAdobeリーダーのJavascriptは切った方が良さそうです。

最新バージョンのAdobe Readerのダウンロード
http://get.adobe.com/jp/reader/

Javascriptの切り方

Adobe Reader 9 のJavascriptをオフにする

Adobe Readerを開き、編集から環境設定を選択。

Adobe Reader 9 のJavascriptのチェックを外す

上から2番目のJavascriptを選択し、Acrobat Javascriptを使用するのチェックを外す。

(Sun)Javaの最新バージョン確認

ほとんどのPCに入っているであろう無料のJava、これも最新にするか不要ならアンインストールしましょう。不要かどうかを判断出来なければ最新へアップデートをお勧めします。

Java ソフトウェアのインストール状況の確認
http://www.java.com/ja/download/installed.jsp

 

実際に感染し改ざんされた場合の対応

感染すると管理下のWebサイトが改ざんされ、セキュリティの弱いパソコンは感染し、二次被害どころか延々と拡大して行きます。自衛するしか有りませんが、万一感染した場合の対処すべき手順。セキュリティソフトを常に最新パターンに更新しておくという前提で。

  1. 全てのネットワークから切断(LANケーブルを抜き、無線LANオフ)
  2. scriptが実行されない環境で別のPCからIDやパスワードを変更
  3. 同じく、別のPCから502を返しメンテナンス中という1ページを表示
  4. 同じく別のPCから改ざんされた部分を修正、または全て削除
  5. ウィルス対策ソフトでPC内の除去を試み、無理ならOS再インストール

このブログもご多分に漏れず、FTPを使用しアップロードしたり管理画面からログインしており万一の際には上記の手順を踏むことになります。

冒頭で書いた通り、デジタルマガジンにお詫びが掲載されました。

【お知らせ】デジタルマガジン、ページ不正改ざんについてのお詫び|デジタルマガジン
http://digimaga.net/2009/12/about-infection-to-the-gumblar-virus.html

謝罪、原因、対策まで詳細に書かれた良い文章と評価出来ます。 何が有ったのか流れを見ることが出来るため、サイト管理者は参考にされるとよろしいかと。

このブログ(BTOパソコン.com)は、業者のパソコンへVPNで接続しファイルを上げていますが、万全とは言えず他人事でもありません。万一感染した際にはメンテナンス中の画面が表示されるはずなので、自分のPCに感染していないかチェックして下さい。

上の3点、Windowsを最新、Adobeリーダ設定、SunのJava最新にしていれば感染率は大きく下がります。実際、この3つだけで突撃用ノートは感染しませんでしたが、ウィルス対策ソフトは必須です。

今月のオススメBTOパソコン

リンク用ソース

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★ 長保証: ★★

コスパ: ★★★★★ 安保証: ★★

部品選: ★★★☆☆

初心者や実用重視のPCユーザー向け。デスクトップ以外にノートも多数有り価格と性能のバランスが良く選びやすい。全国に実店舗が多数有るBTO PCメーカー。

マウスコンピューター

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ★★

部品選: ★★★☆☆

パソコン工房と同様に機種が多くノートの取扱も有りゲーム用やクリエイター向けPCも有り。送料が比較的高額なので総額注意。知名度は国内トップクラス。

ドスパラ

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ☆☆

部品選: ★★★☆☆

デスクトップPCならパソコン工房とマウス以外にドスパラも見る価値有り。秋葉原に本拠地を構える昔ながらのBTOパソコンメーカーで知名度はマウス並に高い。

DELL

高性能: ★★★☆☆ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ☆☆

部品選: ☆☆☆☆

2011年頃から安く無くDELLを選択肢に入れる理由が薄く回線抱き合わせ販売の価格がまぎらわしい。ゲームPCのAlienwareは見た目重視コスパ最悪なので要注意。

日本HP

高性能: ★★★★ 長保証: ★★

コスパ: ★★★☆☆ 安保証: ★★

部品選: ☆☆☆☆

高性能ノート以外は見る価値が薄く高額なLenovoという感じ。早々にWindows 7を捨て8に切り替えたので7が必要なら行っても無駄。2012年後半から迷走中。

TSUKUMO

高性能: ★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★

部品選: ★★☆☆☆

ヤマダ電機による買収後はマニアックな感は無くなり家電通販のような普通のパソコン屋に。BTO PCは機種が少なくやや割高。ツクモファンなら選択肢へ。

FRONTIER

高性能: ★★★☆☆ 長保証: ☆☆☆

コスパ: ★★☆☆☆ 安保証: ☆☆☆

部品選: ★★☆☆☆

2013年7月に(株)KOUZIROが倒産しヤマダ電機子会社インバースネットが続投。長期保証が消滅。これと言った特徴が無く難点は有れど利点が見当たらない。

サイコム

高性能: ★★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★★

部品選: ★★★★★

自作しない中~上級者のPCユーザ向け。初心者にはカスタマイズが難しく動かない構成でも購入できるので注意。パーツへのこだわりや知識が有るなら。

※並びはBTOメーカーの知名度の順。大小関わらず信用できない要素があるメーカーは未掲載。

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

お知らせ


Windows 7サポート終了は2020年1月14日

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。