? ガンブラー(/*Exception*/) vs avast! || 今ここ ≫

ガンブラー(/*Exception*/) vs Norton Internet Security 2010

banana
(2010年1月23日 21:58) | | コメント(2) | トラックバック(0) |[] 2047

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

アメブロのノートンプロモーションページが改ざんされた問題のお詫びで90日無償版が公開されているノートン インターネット セキュリティ2010

Norton Police City in Ameba キャンペーン ブログパーツ改ざんに関する対処方法のご案内

これがガンブラーに対して無力だったら笑えないよね。

という事でノートン インターネット セキュリティ2010は脆弱性がある状態でガンブラーによるウイルス感染を防ぐ事ができるのか!!

今回はデータ通信用の端末を会社に置き忘れてしまったので自宅回線から一発勝負。

ガンブラー vs Spybot-S&D - smilebanana

ガンブラー vs ウイルスバスター2010 - smilebanana

ガンブラー vs avast! - smilebanana

ガンブラー vs ウイルスセキュリティZERO - smilebanana

ガンブラー(/*Exception*/) vs avast! - smilebanana

環境はこんな感じ

OS・WindowsUpdate

WindowsXP Pro SP3+2010/01/09までの重要な更新は適用済み

からSP3をアンインストールした状態

IEのバージョンは?

7.0.5730.13 → 6.0.2900.2180

ウイルス対策ソフトは?

Norton Internet Security 2010

アップデートした以外設定は何もいじくってない状態

FlashPlayerのバージョンは?

わざわざ8.0.42.0をインストールしました

AdobeReaderのバージョンは?

わざわざ7.1.0をインストールしました

AdobeReaderのJavaScript設定は?

もちろん有効なままです。

JREのバージョンは?

1.6.0_10

 

いつものサイトへアクセス。

サイト上部に

<script>/*Exception*/ document.write('<script src='+'h@(t(なんとかかんとか

さらにサイト下部にも

<script>/*Exception*/ document.write('<script src='+'h@(t(tなんとかかんとか

という二段構えな改ざんコード埋め込み状態

すくりぷとはするー

おいおいおいおいおい・・・と思ったら

おっ

ちょっと遮断されるまで間があるけど防いでくれてるっぽい。

一応セーフモードで確認してみたけど感染の兆候は無いっぽい。

ノートンさんの活動ログ

2010/01/23 21:37,高レベル,侵入の試みを遮断しました。,遮断しました,対応の必要はありません,MSIE MS MPEG2TuneRequestControl ActiveX Instantiation,http://www.なんとかかんとか/
2010/01/23 21:37,高レベル,侵入の試みを遮断しました。,遮断しました,対応の必要はありません,MSIE ADODB.Stream Object File Installation Weakness,http://www.なんとかかんとか/,
2010/01/23 20:23,情報,侵入防止が有効になりました,検出しました,対応の必要はありません,,,侵入防止
2010/01/23 20:23,情報,侵入防止が 1517 シグネチャを監視しています。ドライバのバージョン: 9.1.2.5,検出しました,対応の必要はありません,,,侵入防止
2010/01/23 20:23,情報,侵入防止エンジンのバージョン: 4.5.0.67 定義セットのバージョン: 20100119.001,検出しました,対応の必要はありません,,,侵入防止

また明日データ通信の端末持って帰ったら他のサイトにもアクセスして試してみます。

/*追記*/

他のサイトも試してみましたがだいじょうぶでした。

サイトのURLで判別しているのではなく、リダイレクト先を見て判断している?ようす?

ちなみに

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】

454 名前: 名無しさん@お腹いっぱい。 投稿日: 2010/01/23(土) 11:06:41

串通せば感染する。

ただ、Gumblarに感染後、forhomessale.ru に感染した旨を通知する通信が発生するらしいんだが
Gumblar感染後、forhomessale.ru の名前解決に失敗してるっぽい、、、

それでもFTPアカウントは窃取されんのかな?

えーっと、ちょうど/*Exception*/が発見されはじめた22日の0時頃

Aviraの実験をやってまして。

まぁ、結果としてはあっけなく/*Exception*/にやられちゃったわけですけど

(ちなみにスタートアップフォルダに作られるファイルが、wwwpos32.exeに変わってました)

その時FFFTPに登録してあったサイトのデータは見事に改ざんされました。

どんなコードが挿入されたかお見せしたいんだけど、保存しておいたファイルをメインPCに移そうとした瞬間

うちのESET Smart Securityがうなりを上げて削除してしまうのでお見せできません><

しょうがないのでスクリーンショットをコピーしてぺたり

(今更ですが)TCP Monitor Plus入れて感染してみるべかな?

カテゴリ:

トラックバック(0)

このブログ記事を参照しているブログ一覧: ガンブラー(/*Exception*/) vs Norton Internet Security 2010

このブログ記事に対するトラックバックURL: http://www.smilebanana.com/mt/mt-tbx.cgi/2045

コメント(2)

hafma (2010年1月30日 18:10)

みるべき

banana (2010年1月30日 23:22)

べきべきべっきー

コメントする

このブログについて

  • 管理人はbananaです。
  • 連絡その他は

    まで。(No Spam)

人気のありそうな記事

サイト内検索

最近のブログ記事

最近のコメント

アーカイブ

カテゴリ

タグクラウド

Powered by Movable Type 4.27-ja