ハルコタン紀行

gumblar自己中心派

gumblar.xのスクリプトが妙なことになっています。

とりあえず無害ですが…。

Bredo vs. Zeus: The Battle of the Bots continues (Sophos)
BredoとZeusが抗争中のようです。
Mal/Iframe-N: The next big threat? (Sophos)
Mal/Iframe-N: Another winning infection? (Sophos)
 インジェクション onload属性の利用 (cNotes)
これはiframe~8080~phpの話ですが、その数日後に先ほどのスクリプトです。
iframes are EVIL! Hate Zeus! (Sophos)
あれ? gumblar.xはZeusとは違うの?

Gumblar Website Botnet Awakes (ScanSafe)
Zeus Bot Joins Gumblar Attacks (ScanSafe)
よく読むと、これはscriptではなくiframeなので
gumblar.xではなく、むしろ抗争相手なのかもしれません。

両者は多くの点で似ているので、ちょっとした内紛かもしれません。
あるいは、webに注入する勢力同士の抗争ではなく、メールを主とする等の
別の勢力が書き換え手順を解析した等で上書きしてしまったのかもしれません。

誰がなぜ書き換えたのかはともかく、これで安全、というわけではありません。
有害なコードから無害なコードに書き換えられてしまったサイトは
いつでも再び有害なコードに書き換えられるサイトでもあります。


関連情報
Adobe Reader / Acrobatを狙う攻撃が減少 (IBM 東京SOC)
Gumblarに異変 1 2 (So-net)

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/10/27(火) 09:28:33|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:3
<<インジェクション | ホーム | gumblar・martuz>>

コメント

No title

以前、チェックが甘い「Gumblar.xのチェックスクリプトを書いてみました」 の者です。お恥ずかしい限りでした。現在のバージョンはキッチリチェックできてるようです。お騒がせいたしました。また、ご指摘ありがとうございました。
  1. 2009/11/20(金) 14:50:30 |
  2. URL |
  3. AMADARE #-
  4. [ 編集 ]

> (「¥」付きの「<¥/script>」を検知できていない?)。
です。消えるのね…。
  1. 2009/11/12(木) 16:24:39 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

Re: Gumblar.xのチェックスクリプトを書いてみました

「Gumblar.xのチェックスクリプトを書いてみました」
とコメントをされた方へ。御社のacc.jsが感染しているため
今回はコメントを拒否させていただきます。
また、agc.phpではこのacc.jsを見逃しているようです
(「」付きの「</script>」を検知できていない?)。
  1. 2009/11/12(木) 16:22:44 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/155-089be74d
この記事にトラックバックする(FC2ブログユーザー)