サイト改ざんウィルス、通称GENOウィルスの参考情報。

実空間と電脳空間の両面攻撃を予習としよう。

を作成する時に参考にした情報です。
新規ばかりで以前アドレスを載せたまとめWikiなどは載せていません。
ーーーーーーーーーーーーーーーー
So-net セキュリティ通信
05/22 正規サイト改ざん：ここまで広がった国内でのサイト汚染、訪問歴確認を
必見です。UnderForge of Lackの方も感謝を言っていますが
私は普通の立場からになりますがやはり感謝したくなります。
さて、トロイの種別によりますが中でもGENOウィルスとして知られる原因を作った
■zlkon.lv　による被害先は実に恐ろしい一覧で
GENOを筆頭に国土交通省中部地方整備局という名まで上がっています。
■gumblar.cnと■martuz.cnをみれば分かる様にこんな普通の店まで！
と驚き、身近に感じませんか。
------------
Gumblaroid, regarding Zbot
Posted in security on 5 月 21st, 2009 by gnome

botネットに興味がありましたらこの記事も参考にしてみてください。
以前にも出したaguseにて調べるとサーバーは英国らしい様子がわかります。
注意判定もでています。
Gumblaroid 解析 : 日本語訳
Posted in security on 5 月 22nd, 2009 by gnome
現時点ではこちらが最新の記事になっています。
ーーーーーーーー
twitterによる情報
twitterで@takuchan_manさんの発言
海外ではgumblarっていうのか。流行ってるみたいだけど。http://securitylabs.websens...
Websense.com / Security Labs / Blogs / Gumblar - An Analysis and History

英文です。こちらでは(Gumblar.cn/Marutz.cn, Troj/JSRedir-R)となってます。

この拡張って今流行りのウィルスも警告してくれるのかな？　http://sourceforge.jp/magazine/09/05/22/0327258
Webサイトの安全度をチェックする「McAfee SiteAdvisor」拡張

ーーーーーーーーーーーーーーーーーーーーーーーーーーー
ちなみにMacでのアンチウィルスソフトとして私はiAntiVirusを使っております。
ただ、以下のサイトを見た所ではClamXavにも興味が沸き、使ってみようかと
思っています。
OSXでよく使うアプリケーション5-4
なお、有料ソフトでしたら
act2が販売しているインターネットセキュリティバリア X5 シリーズ
というものがあります。
　（なお、24日はリニューアルにつき終日メンテナンス予定みたいです）
ーーーーーーーーーーーーーーーーーーーーーー
・
・新たな情報リテラシーを学ぶきっかけ　メルマガ　秋月便り

実空間と電脳空間の両面攻撃を予習としよう。

橘さんが分かりやすい記事を書きましたので私はもう
下がろうかと思ったのですがもう少し続けます。

「GENOウイルスは、新型インフルエンザの世界的な蔓延と同時期にネットで蔓延しています。
これも陽動作戦なのでしょうが、かなりダメージを喰らいます。
Windows PC でネットにアクセスしている方は、ウイルスが広まった際の代替手段として、携帯電話によるアクセスと 非Windows PC を保有しておくと、よいでしょう。

2009/05/22 橘みゆき 拝」

このように言われています。
今回の事は予習と考えて動いてはどうでしょうか。
新型インフルエンザ（この呼称も何時まで使えるというのでしょう）も
コンピューターウィルス（トロイ）もです。
以下の文章を見てください
UnderForge of Lack
martuz.cn は現在停止中です
Posted in Trouble, security on 5 月 20th, 2009 by gnome
しかし、 martuz.cn に使われていた IP 95.129.145.58 および、何かを送信していた 95.129.145.57 は現在も完全停止したわけではないので、引き続き注意が必要です。（ping応答：有 リクエストレスポンス：無）

今後のオプションですが、

ドメイン変更して再攻撃
時間を置いて再攻撃
このまま衰退

う～ん
３を願いたいですね。

What's next ?
Posted in security on 5 月 20th, 2009 by gnome
In any case, it means the bad guys are able to continually change the malicious code until the admin changes the FTP passwords and blocks the trespassing. IT managers and Web administrators should work with their hosting companies to ensure websites are clean.
私は怖くて言えなかったことをサラっと言ったな！（笑）

そう、 FTPの ID/Pass を盗んでるんなら、パスワード変更してロックするという選択肢もあったわけです。しかし、今のところそういった報告が無いので、（たぶん）攻撃者の予想以上に広がりすぎて、攻撃者も困惑気味だったのかもしれません（苦笑）

いずれにせよ、感染してしまった人はに、そういう危険があるという（ことを Symantec が言っている）ことに注意してください。

はい、そうです。これだけ蔓延したにも拘らず
ポテンシャルから考えるともっと酷い事が可能でした。
つまり全力を尽くした攻撃はしていなかったのです。
新型インフルエンザについてもご存知の通り
現状では弱毒であるもののかつてのスペイン風邪同様に変異する
可能性高いです。そして北半球にとっては今の時期よりも
秋から冬にかけてが季節型同様本番となります。
そこにコンピューター及びネットワークが同様になる可能性はどうでしょうか？

予防ではなく、蔓延している／罹っている前提で考えたり動きたいです。
コンピューターの場合だとパスワード変更とかですね。
ルーターやファイアウォールの通信先を狭めるという手段も有効です。
　例えばドメインごと止めておくという事も可能です。
　.comを始めとする一般的なものを許可しておいてその他は一切許可しない
　という事も手始めとしては良いのではないかなと思います。
　また中国など国レベルで止めるというのも良いと思います。
　　　（許可したいサイトのみ登録して除外できるはずですし）
以前はわざわざ・・・という感じもありましたが今では
ブロードバンドの一般化や各種OS自体にも搭載される、アンチウィルスから
セキュリティ総合ソフトへの変化という流れがあります。
.comなど正規サイトも危険なサイトも多い場合は振り分けが難しいですが
そうして元からアクセスをしないようにしておけば
ウィルスに感染しても影響が抑えられます。特に変異したり
トロイとして情報を盗み取る場合にとても役立ちます。

インフルエンザなどの感染症でしたら
手洗いなどの菌・ウィルスを増やさない、体に入れない対策と
そして何より心身の健康こそ大事です。
コンピューターは替える事ができますが体は一つです。

もっとも、コンピューターといっても
「情報」はかけがえの無い場合が多々ありますから
バックアップや失った／使用できないときの備えが必要ですね。
ーーーーーーーーーーーーーーーーーーーーーー
本日のブログ書き
・二つに分けました。
　サイト改ざんウィルス、通称GENOウィルスの参考情報。
・アクセス数は記事を出せなかったのもあり減りました。
　2009.05.21(木) 432 PV 224 IPです。
　22日は更に減ると思います。
・橘さんの記事からの流入がかなり多いです。
　他からもちょっとめずらしくgooの見知らぬ所から来たりしていました。
　こちらはリンクも無い様なので謎です。
・

・メルマガ　秋月便り