8080系(いわゆるガンブラー系)記事のまとめ

2010年1月 5日 00:28 Security Tool 削除作業

Security Toolというマルウェアをとりあえず動かなくするためのメモ。

ただこの記事を書いている時には8080系が感染の原因だとはハッキリ分かっていなかった。

→じゃあ試しに感染してみよう！

　→仮想PCで試したらホストOS側のESETが反応して無理だった

　　→じゃあ別のPCで試してみよう！

　　　→そして伝説へ・・・

2010年1月 6日 20:32 いわゆるGENO系ウイルス感染してみた

「うわー感染してもほとんど何も起きねーんだなーこえー」と思ったら実は本当に感染してなかったという。

2010年1月10日 23:56 いわゆるGENO系ウイルス感染してみた２

そんな状態であるにもかかわらず「ウイルスバスターは無反応でしたよぷぷぷ」などと言っちゃった。

ただ結局のところ、よそのソフト(カスペルスキーやESET Smart Security)が脅威として検出している改ざんコードをまるっきりスルーしちゃってるのはどうなのよ、といった話ではある。ので謝りません。

で、ここらへんでようやく「あれ？これもしかして感染してねぇんじゃね？」と気付く。

2010年1月12日 23:52 いわゆるGENO系ウイルス感染してみた３　改ざんされるのか

FFFTPをインストール後設定した状態でウイルス感染を試して、実際に管理するページが改ざんされるのかどうか試してみる。

→ちっとも改ざんされない。

これはやっぱり感染してないんじゃないのかなー。生贄PCの環境に不備があるのかなー。わりとデリケートなウイルスだなー。めんどくせーなー。

という事で悩み始め、10円ハゲができる。

2010年1月14日 19:12 いわゆるガンブラーに感染してみた４　「あ、感染した。」

XPのSP3(ServicePack3)に含まれる修正パッチが邪魔してんのかな？という事でSP3を削除してみる。

→祝！感染成功！

ただ、無理くりSP3を削除した影響か途中でSTOPエラーが表示されてしまうという今からすれば中途半端な感染状態に。

2010年1月15日 22:47 ガンブラー vs Spybot-S&D

リクエストに応えてSpybot-S&Dと戦わせてみる。

→ノーガードでフィニッシュです。

2010年1月16日 20:04 ガンブラー vs ウイルスバスター2010 - smilebanana

>前回の実験では、改ざんされたページの怪しげなスクリプトを華麗にスルーしたウイルスバスターさんですがあれから6日。
>今もなおスルーするのか！
>あと前回の実験では試せなかった、ウイルス本体のダウンロードや実行を止める事ができるのかー！　

→なんだかわからないけど感染は防いでくれるらしい。

フィッシング詐欺対策機能によりリダイレクト先URLへのアクセスがブロックされていた為感染しなかったらしい。

2010年1月17日 18:29 ガンブラー vs 生湯葉

「何が一番美味しかった？」

　　「茶碗蒸し・・・かな・・・」

「「「えーっ！！」」」

2010年1月18日 00:03 ガンブラー 感染動画

STOPエラーが発生する段階での感染動画

2010年1月19日 20:21 ガンブラー vs avast!

→改ざんコード(が埋め込まれたページ)自体を検出してブロック。

音にはビビるけど、無料ソフトなのにステキな感じーなんて誉めたら・・・(後述)

2010年1月21日 23:17 ガンブラー vs ウイルスセキュリティZERO

→限りなくアウトに近いセーフ。そんな事じゃダメでしょー

ひげおじさんに掘られて処女を失う。

2010年1月22日 19:35 ガンブラー vs AVG Anti-Virus Free

>「てめぇがチンタラやってる間に改ざんコードが変化してっぞ」

/*GNU GPL*/　→　/*LGPL*/　→　/*handle exception*/　→　/*Exception*/

>知ったこっちゃねーよ！！

→avast!同様改ざんコード(が埋め込まれたページ)自体を検出してブロック。というよりavast!よりもマイルドな警告の出方で個人的にはこちらのほうが好み。

2010年1月22日 22:06 転送量がポンチ

色んな所からリンクされはじめた影響で

アクセス数→2倍

転　送　量→5倍

血尿が出る。

慌てて「感染動画」をYoutubeへ移す。

2010年1月23日 00:33 ガンブラー(/*Exception*/) vs avast!

(これ以降生贄PCのJREを1.6.0_15→1.6.0_10へ変更する。)

前回好成績だったavast!が新しい改ざんコードに反応するかテスト。

→>スクリプトがスルーされあっけなく感染してしまい(一応一部のファイルには反応しているせいか、STOPエラーまではいかないものの、Runキーにはいつものアレが追加され、スタートアップフォルダには)

(途中で絶命しているのに他意はありません。書き加えようと思ってそのまま忘れてるだけです。)

残念。

こうなるとウイルスバスターみたいにリダイレクト先で判断してブロックするほうがいいのかな？とか思う。

より良いのは改ざんコードでの判断+リダイレクト先での判断の2段構えでしょうけど。

2010年1月23日 21:58 ガンブラー(/*Exception*/) vs Norton Internet Security 2010

>ちょっと遮断されるまで間があるけど防いでくれてるっぽい。
>サイトのURLで判別しているのではなく、リダイレクト先を見て判断している？ようす？

→という事できっちりブロック。

ちなみに

[補足]ガンブラー(/*Exception*/) vs Avira AntiVir Personal

なんかこのソフト、そもそもが定義ファイルの配信サーバーに全然つながらず

「なんだこのソフト。全然つかえねー」

とか思いつつなんとかかんとか更新してテストしてみると

2回目のavast!と同じような感じで感染してしまう。

これ以降のちょろんっと書き加えた

>その時FFFTPに登録してあったサイトのデータは見事に改ざんされました。

が元で後に・・・。

2010年1月25日 23:30 ガンブラー 感染できない

生贄PCをXP SP2のディスクからリカバリ。

これでようやく今までの「無理矢理SP3を削除した状態」じゃなくてクリーンな脆弱性(?)をもった環境でテストができる！と意気込んで

>ガンブラ子にアタックしたら早々にふられて顔面ブルーレイ

これ以後、うまく感染できない状態が数日続く

2010年1月27日 22:43 ガンブラー 感染できない２

とうとうSTOPエラーすら出なくなる。

>ヒルルク (2010年1月27日 23:52)
>　
>よかった…。病人はいねェのか…。
>おれァてっきり…国の一大事かと…。

>何だァ…おれがダマされただけか…。

ワンピースをまともに読んだことがないので適切がツッコミが思いつかず悩み、500円ハゲができる。

2010年1月28日 23:59 ガンブラー 改ざんのタイミング

うまく感染できないので違った視点から、という事で

>「サイトが改ざんされるタイミングは、ウイルスに感染してFTPクライアントの情報を外部に送信した時だけ」なのか

→FTPのアカウント情報が外部へ送信されてる場合は、その情報を利用して相手の好きな時に改ざんされる。

FTPクライアントが設定されたパソコンのウイルス感染が疑われる場合は最低でもパスワードの変更が必須。

参考：

UnderForge of Lack » Blog Archive » [NOTICE] がんぶらー’ed される FTP list

JPCERT/CC では、以下の FTP クライアントにてマルウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07 ※公式サイト http://www.ultrafxp.com 消失
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。

- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10

手広いのう・・・

2010年1月29日 22:34 ガンブラー なんじゃこりゃ

いつの間にか、改ざんされたサイトへアクセスした時の挙動が変わる。

でもまだ完全には感染しない(?)状態。

ちなみに file.exe なんてファイルが登場したのは結局この日だけでした。なんじゃらほい。

「はじめてのぱけっとすにっふぁりんぐ」

→お母さん、翻訳こんにゃく買ってきて！！

2010年1月30日 22:15 ガンブラー 感染動画2

>おまっとさんでした！
>なぜか最近感染したくてもできない状態が続いていたいわゆるガンブラー(8080系)が、元気になってあなたの元へかえってきましたよ！

という事で感染してからSecurity Toolがインストールされるまでの動画

2010年1月31日 20:57 ガンブラー 感染動画2の詳細

感染時の追加されたファイル/レジストリ。

>FFFTPの設定をレジストリではなくINIファイルに保存した場合はどうなのかなー？

→今の所は改ざんされないようなので大丈夫っぽいです。(それ以後(この記事をかいている今現在)も改ざんされていません)

2010年6月29日 23:02 Gumblar.8080系との再開

リクエストを受けて活動再開。

Adobe・Javaの脆弱性を防いでいたとしても「ヘルプとサポートセンターの脆弱性」が残っていると感染しちゃいそうですよ。というお話。(現在はWindowsUpdateで修正プログラムが配布されてます。)

このときは何故か感染途中で止まっているようですがそれでもレジストリやファイルなどゴソゴソと探られているようなのでちょっと嫌な感じ。

2010年7月7日 23:16 Gumblar.8080系にふられる

リダイレクト先にうまくつながらないので感染できなくなる。

2010年7月9日 23:32 Gumblar.8080系感染してみた 7月9日版

リダイレクト先にうまく(?)つながったらしく、久しぶりにSecurity Toolがインストールされる段階までガッツリ。

という事でやっぱりAdobe・Javaの脆弱性を防いでいたとしても「ヘルプとサポートセンターの脆弱性」が残っていると感染しちゃうみたいですよ。というお話。(現在はWindowsUpdateで修正プログラムが配布されてます。)

さらにwpcap.dllなど嫌な感じのファイルがこっそりコピーされている事も確認。

(脆弱性の)トレンドを追いかけ日々進化するウイルス。そのやる気をもっといい方向に向ければいいのに・・・。

2010年7月12日 22:58 Gumblar.8080系にふられるパターン2

またうまく感染できない状態になる。

パケットログを見た感じでは感染する為にホップ→ステップ→ジャンプと3つほどサーバーを利用しているようだがそのうち一つでもつながらないと活動が途中で止まってしまう？

ちなみにそのリダイレクト先についてですが、初期の頃と違い現在は「***.ru:8080」だけでなく「***.net:8080」や「「***.se:8080」など多種多様なようだよう。

という事で続・・・く？