ウェブページを見るだけで感染し、FTP の ID とパスワードを抜き取られるガンブラー ( Gumblar ) と言うウイルス

ガンブラー ( Gumblar ) と言うウイルスが流行っているんだそうです。
似てますが、ガンプラ ( ガンダムのプラモデル ) じゃありません。
ガンブラーは、別名 GENO ウイルスとも言われ、感染したサイトを見るだけで FTP の ID とパスワードを抜き取られてしまう恐ろしい代物らしい。

まず最初に言っておくと、僕自身はウイルスに詳しくありませんが、ウェブ制作者が感染すると厄介な事になりそうなのでメモしました。
したがって、この記事は間違いを含んでいる可能性がある事をご理解ください。
また、記事に誤り・補足が必要な箇所を発見された方はコメント欄にて、ご指摘いただけると嬉しいです。

ガンブラー感染から発病の仕組み
———————————————————————-

FTP のアカウントとパスワードを盗まれる手順は次のような感じらしいです。

1. 改ざんされた正規のウェブサイトを閲覧
2. 埋め込まれた HTML タグやスクリプトにより不正サイトへリダイレクトされる
3. 不正なサイトにある、セキュリティーホールへの攻撃コードを含んだ PDF, SWF を自動再生してしまう
4. 自動再生により不正なプログラムがダウンロードされる
5. 不正なプログラムにより Windows のレジストリが改変される
6. FTP の通信を監視され、アカウントとパスワードが抜き取られる

普通のユーザーが出来るガンブラー対策
———————————————————————-

1. Adobe Flash Player を最新版に保つ

[Adobe Flash Player のバージョンテスト](http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm) でインストールしているバージョンが確認できます。最新バージョンでない場合は、最新版をインストールします。パソコンにインストールしてある全てのウェブブラウザで確認した方が良さそうです。

2. Adobe Reader を最新版に保つ

[Adobe Reader](http://www.adobe.com/jp/products/reader/) から最新版をインストール

それから、Adobe Reader の環境設定で JavaScript を実行しないように設定すると良いらしい。

3. アンチウイルスソフトの URL フィルタリング機能を使う

不正なサイトへのアクセスを遮断する。設定方法が良くワカリマセン…。スミマセン…。

ウェブ制作者が出来るガンブラー対策
———————————————————————-

1. FTP にアクセス制限をかける

自分の使っている IP アドレスのみ FTP を使えるようにする。

2. アクセス制限が難しい場合は SFTP を使う

ID とパスワードを暗号化して通信する SFTP を利用する。

ガンブラーに感染してしまったら…
———————————————————————-

ガンブラーに感染してしまったら、

1. ウイルスの拡大を防ぐためウェブサイトを素早く閉じる
2. 感染マシンのウイルス除去 or OS のクリーンインストール
3. FTP の ID とパスワードを変更する
4. 改ざんされたウェブページを修正する

参考にさせてもらったページ
———————————————————————-

– [猛威をふるうガンブラーの徹底対策術 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)](http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm)
– [Webからの脅威「Gumblar」(ガンブラー) – 検証ラボ:ウイルスを観察してみる:ITpro](http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/?ST=system&P=1)

ガンブラーに感染してしまった事例
———————————————————————-

– [WordPress › フォーラム » ハッキングされてしまいました](http://ja.forums.wordpress.org/topic/2998#post-12497)
– [パソコンがウィルスに犯されている可能性があります。 IEで、google検索して検索結果のどれかをクリックしてアクセスしようとすると、 たまに、おかしなサイトに飛ばされま.. – 人力検索はてな](http://q.hatena.ne.jp/1261681767)
– [1週間ほどハッキングに悩まされております。 私の管理するサイト数件がいっせいに被害にあっています。 WEBサイトに下記のようなコードが埋め込まれるのです(念のため.. – 人力検索はてな](http://q.hatena.ne.jp/1261708656)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事

[ Google Analytics ] 外部サイトやフィルタ…

次の記事

[ PHP ] 配列の中身を指定の区切り文字で連結するサンプル