ハルコタン紀行

gumblar・martuz

有害なスクリプトがいくつかのサイトに注入されています。
単純な1行のscriptタグであること(URIの末尾はphp)、
誘導先は(有害な物が設置されてはいるものの)
いわゆる有害ドメインではないことから発覚しにくくなっています。
スクリプトの書き方からzlkon・gumblar・martuzの系統と思われます。

gumblar・martuz


今回


gumblarやmartuzはドメインで容易に蹴られてしまうという欠点がありましたが、
今回はそれがありません(C&Cの存在も確認できません)。


やられちゃったサイト群1のスクリプトは以下のようになっています。

IE用


非IE(Fx、Safari、Opera等)用


デコードするとそれぞれ以下のようになっています。

IE用


非IE用


「s=」でセッション管理をしています(検体を拾えませんでした)。
「id=2」でpdf(Acrobat)が、「id=3」でswf(Flash)が降ってきます。
スクリプトは動的に生成されているようで、
同一サイトから上のスクリプトを取得しなおすと以下のようになりました。

非IE用(再)


このスクリプトは集めても徒労ですね…。

WindowsUpdateはもちろん、AdobeReader(Acrobat)とFlashPlayerの更新を忘れずに。


関連情報
Web サイト経由でのマルウエア感染拡大に関する注意喚起 (JPCERT/CC)
The Low-Down on Daonol (Microsoft Malware Protection Center)
 黒い画面にマウスカーソル (Win32/Daonol) (Microsoft Japan Security Team)
Gumblar Reloaded (IBM X-Force)
 Adobe Reader / Acrobatを狙う攻撃が急増 (IBM 東京SOC)
 Adobe Reader / Acrobatを狙う攻撃が急増(続報) (IBM 東京SOC)
 Adobe Reader / Acrobatを狙う攻撃が減少 (IBM 東京SOC)
The new gumblar (Kaspersky)
Gumblar update (Kaspersky)
The Gumblar system (Kaspersky)
Gumblar infection count (Kaspersky)
 Gumblar に酷似、新たな脅威発生に警告 (Kaspersky Labs Japan)
 [続報] Gumblar に酷似、新たな脅威発生に警告 (Kaspersky Labs Japan)
【注意喚起】Gumblarおよびその亜種に関する大量の感染事例について (LAC)
 "新"Gumblarに注意喚起 (F-Secure LACの人の寄稿)
 New Gumblarとその亜種に関する注意喚起 (F-Secure LACの人の寄稿)
「Gumblarウイルス」と類似した新たな攻撃手法を確認 以前に感染したウェブサイトの1/3以上が再び改ざん被害に (SecureBrain)
Gumblar再襲来 1 2 3 4 5 Gumblarに異変 1 2 (So-net)
[EMERGENCY] THE MASSIVE COMPROMISED via Gumblar (UnderForge of Lack)
zlkon、gumblar、martuz 再臨 (cNotes)
「Gumblar」(GENOウイルス)の改ざん攻撃者に新たな動き [2009年10月] (無題なブログ)
一気に6サイトもウィルス感染発覚!ご注意を (さまれぼ!開発日記)

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/10/18(日) 15:30:00|
  2. ウイルス
  3. | トラックバック:2
  4. | コメント:2
<<gumblar自己中心派 | ホーム | インジェクション>>

コメント

やられちゃったサイト

スクリプトはあちらのスレに貼られていたとおりsrcしか無い単純なscriptタグなので
やられちゃったサイト群2(利用者が踏む物)を探すのは難しいです…。
管理者も(通報などで)気がつくので、サイト群1も次々と使い捨てられています。
  1. 2009/10/19(月) 00:11:08 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

No title

見るのもデコードするのも煩わしいのも狙いなのでしょうけど、
探すのは何とか出来そうかも…。
  1. 2009/10/18(日) 20:41:57 |
  2. URL |
  3. まとめ臨時 #7auZhdRk
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/154-7d3ef5ab
この記事にトラックバックする(FC2ブログユーザー)

【警告】新種の「Gumblar」PHPウイルスの猛威 そのメカニズム

10月9日ごろに発生した、新種のPHPのウイルス 「Gumblar」「JSRedir-R」(通称、GENOウイルス) について、おぼろげに全体像が見えてきました。 4層構造になっている、とても巧妙な「&#039;&#039;&#039;ウイルスシステム&#039;&#039;&#039;」です。 この背景に...
  1. 2009/10/28(水) 16:35:28 |
  2. オノコロ こころ定めて

[Security]Gumblar 再来とのこと

UnderForgeを見に行ったら、2009年5月に流行した Gumblar が活動を再開したとのこと。関連記事を色々と見ていると、Exploit コードに誘導するまでがこれまでと異なる模様。 とある php ファイルを辿ってみた UnderForge さんとこで紹介されていた .php へのリンクが生きてい
  1. 2009/10/20(火) 02:01:59 |
  2. 思い立ったら書く日記