更新日:2010.01.15
【ガンブラーに関する掲載記事】
Gumblar対策を再チェック 基本的な作業で感染防止を (2010/01/08 ITmedia)
GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (2010/01/07 INTERNET Watch)
新ウイルス「ガンブラー」…パスワード盗難の恐れ (2010/01/05 読売新聞)
Gumblar(ガンブラー/別名 GENO)とは
Gumblar(ガンブラー/別名 GENO)は、トロイの木馬系ドライブバイダウンロードの典型的なウイルス(スクリプトがWebページに埋め込まれており、Internet Explorerをはじめ、FireFox/Opera等Webブラウザの脆弱性を介して、そのページを閲覧した場合に感染してしまうというもの)で、2009年の5月末に出現した後、6月にかけて猛威をふるいました。
悪用される脆弱性
- Adobe Acrobat およびAdobe Reader の脆弱性
- Adobe Flash Player の脆弱性
- Microsoft Office の脆弱性
しかし、10月に脅威が確認されたGumblar(ガンブラー/別名 GENO)の新しい亜種は、6月に脅威をふるったものと被害例を見比べると、改ざんによって正規のホームページが感染源になっている点と、そのサイトにアクセスした PC が不正プログラムに感染させられ新たな感染源になって二次、三次の被害が拡大し続ける点が特徴です。
Gumblar(ガンブラー/別名 GENO)の感染経路(イメージ)
2009年10月14日にこのマルウェアを検知してから、11月13日現在までカスペルスキーでは既に国内1,250件以上(世界70,000件以上)の感染サイトを確認しており、大手ISPや管理機関と共に、連携を始めています。
この攻撃では、正規のサイトが改ざんされ、不正ページへリダイレクトするスクリプトが埋め込まれているため、閲覧者側には、表面上の変化はありません。
そのため、知らぬ間に感染の危険性にさらされることになります。
感染被害
感染してしまうと利用者の PC から FTP のログインパスワード(IDやパスワード)などを盗み出して、利用者が管理するWebサイト等を改ざんし、新たなマルウェアを仕掛けて、この Web サイトを閲覧した他の利用者にも感染を広めようとします。
現在は PC から FTP のログインパスワード(IDやパスワード)などを盗み出す被害が確認されていますが、今後その他個人情報が盗み出される可能性があります。
カスペルスキーでは、Gumblar(ガンブラー/別名 GENO)から徹底防御
カスペルスキーでは、すべてのマルウェアを速やかに定義データベースに追加しています。
Gumblar(ガンブラー/別名 GENO)には多くの亜種が確認されていますが、VirusTotal による各アンチウイルス製品対応状況によると、
- 日本国内で販売されているアンチウイルス製品・サービスにおいて
・PDF形式
・SWF形式(Adobe Flashのファイルフォーマット)
に対応しているのは、カスペルスキーのみです。(2009年10月22日時点)
VirusTotal について:
VirusTotal は、Hispasec Sistemas が提供する、疑わしいファイルを解析するサービスで、ウイルス、ワーム、トロイの木馬およびアンチウイルスエンジンにより検出される全てのマルウェアを素早く簡単に検出します。
出典:VirusTotal サイト( http://www.virustotal.com/ )
注意喚起
以下のような対策で、被害にあう可能性と二次感染の拡大を低減することができます。
- ブラウザなど のScriptや ActiveX の設定を OFF にします。
- Adobe Reader や Flash Player などを含むブラウザのプラグインに最新のパッチを適用します。
- 一度感染が確認された場合、パスワードが盗まれている可能性が非常に高いため、パスワードの変更を強く推奨いたします。
感染の確認ならびに駆除を行うにはカスペルスキー試用版をご利用ください
カスペルスキー製品では、現在出まわっている新型Gumblar(ガンブラー/別名 GENO)に対応していますので、感染の確認ならびに駆除を行うには、Kaspersky Internet Security 2010をお試しください。
