8080系(いわゆるガンブラー系)記事のまとめ - smilebanana
あれから5ヶ月ほど経ちましたが、相変わらず「Gumblar.8080タイプのサイト改ざん攻撃」は止まらず。
ガンブラーが未修正の脆弱性を突いてウイルス感染攻撃 (Gumblar.8080) - 無題なブログ - Yahoo!ブログ
要望もありましたので、ノートをひっぱり出して改ざんされたサイトへアクセスしてみました。
とりあえず環境は以下のような感じ
OS | WindowsXP Pro SP3+2010/06/29までの重要な更新をインストール ※「ヘルプとサポートセンター」のFix itは未実行 |
IEのバージョンは? | 8 |
ウイルス対策ソフトは? | なし |
AdobeReaderのバージョンは? | 9.3.2 (最新) ※JavaScript を使用 / 外部アプリケーションで~ 両方ともOFF |
JREのバージョンは? | 1.6.0_20 (最新) |
「ヘルプとサポートセンターの脆弱性だけでも感染するのかな?」というテストのつもりです。
ってあれ?
Windows XPの未修正ゼロデイ攻撃が。。。 (Gumblar.8080) - 無題なブログ - Yahoo!ブログ
>ユーザーエージェント(UA)を見てIE7ブラウザの場合に降ってくるそうで。
IE8では駄目なのか・・・?
まぁ「IE8だとどうなのか」っていうのも兼ねてやってみました、という事で。
実験
改ざんされたサイトへアクセスすると、例によってリダイレクト。
こんな画面が表示されますので、許可をクリック。
「ヘルプとサポートセンター」の画面が表示されてすぐに消えます。と、同時にJavaのアイコンがタスクバーに現れます。
その後画面は特に変化がないまま、しかしもりもりとCPU使用率・ページファイル使用量が上がっていきます。
10分くらい放置してみましたが、(少なくとも目に見える画面の変化は)何も起きません。
妙にCPU使ってるのが気になりますが、何も起きません。
IEを終了すると落ち着きます。
解析
今回InstallWatch・Process Monitorというソフトを使ってファイル増減なんかを監視してたんですが
追加された怪しげなファイルは
C:\Documents and Settings\user\Local Settings\Temp\0.exe
サイズ:31.5KB
VirusTotalの結果 3/40
これくらいな感じ。
ただProcess Monitorのログを見てみると
目に見えないところでレジストリや細々したファイルなどかなりいじられているようなので
このまま使い続けるのはちょっとどうなんだろう、という感じ。
再会1発目はこんな感じで終了。
※ボランティア募集中 ~ Process Moniterのログ(237,672行程度)を解析するだけの簡単なお仕事です。
\(゚▽゚=))/ワーイ
IE7でもIE8でもhcp経由の攻撃は喰らっちゃうと。Process Moniterのフィルターの作り方がわからなかったです。237,672行程度の解析はさすがに死ぬる(笑)。
個人的にはProcess Explorerを愛用してるんですが、これぢゃ駄目なんかな・・・(よくわからず言ってるけど)
IE7でも同じようになるのかと思ってIE8削除しようとしたらSP3の前にIE8をインストールしちゃってて(略
ただ今環境再構築中
Process Explorerはここまでのログ取り機能は無いんじゃないでしょーか?