気になる「Gumblar」(ガンブラー)。
今までこんなに動作の解明が遅かった攻撃手法ってあったっけ?
亜種が色々あるようだけど、トレンドマイクロの検証によると・・・
http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/?ST=system&P=1
1.「TROJ_JSREDIR.AB」による不正サイトへのリダイレクト
2.「TROJ_PIDIEF.PU」によるセキュリティホール攻撃と他の不正プログラムのダウンロードと実行
3.「BKDR_SEEKWEL.E」による「TROJ_SEEKWEL.TO」のインストール
だと。
で、もうひとつ悪さをするのが
・Webサイト管理用のFTPのID/PWを盗む
・Webサイトに前述の1のスクリプトを仕掛ける
らしい。
ちなみに、今録画していた祝女って番組見てるけど面白い~。
http://www.nhk.or.jp/shukujo/
女性向け「サラリーマンNEO」なのね。
あとデータ放送利用してかかってる曲のタイトルとか出演者紹介しているのって新しくない?
で、そのFTPでWeb改ざんというのが、どうやってるのかわからん。
・ID/PWをどうやって盗んでるのか
キーロガーかな。FTPクライアントのキャッシュからとか、無さそうだけどパケットキャプチャ?
・どうやってWebサーバにFTPするのか
Webサーバの話よくわからないから、ここが特に謎。
インターネット経由?
でも、あんな大企業がインターネットにFTPのポートさらしてるの?
そんな事ありえないと思うんだよな~。
とすると、バックドア仕掛けられてWeb管理端末から接続?
これだと、ソースIPやポート制限しているサーバへでも接続できるよね。
久しぶりに不毛地帯再開したけど、相変わらず暗いけど、副社長がエキサイトしてて楽しかった。
・どうやって改ざんするのか
手動?
http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/?ST=system&P=2
「ガンブラーウイルスのケースでは,不正スクリプトはHTMLのheadタグとbodyタグの間に挿入されたり,元々そのWebページで使用されていたスクリプトファイル(.js)を不正なものに置き換えられてしまったりする事例が多かった。このような改ざん手法から,自動的機械的な改ざんではなく,ある程度以上人間が手動によって行った改ざんである可能性が考えられる。」
スラドのあるコメントでは自動?
http://slashdot.jp/comments.pl?sid=481462&cid=1702677
人志松本の○○な話、ゴリの川田の遅刻の話面白かった。
それにしてもパチンコ吉宗楽しみだ。2/22が最速導入なんだっけな?