這是這幾天廣泛流行起來的又一次轉址病毒攻擊,Gumblar增長如此迅速的原因來自於攻擊者不斷地修改JavaScript以及其他技巧,混合起來就成為一種很難偵測的攻擊方式。補充:這似乎是一連串的攻擊行動的一部分,標題列出的只是其中幾個最近常見的變種。
它透過JavaScript/轉址/植入後門等方式先寄生在一般網站,當你鍵入某個中毒網站URL之後,這個(原本正常的)網站會盜取你的個人訊息,包括信用卡資料等,導致身份盜用和其他詐騙行為。然後它還會試著擷取你主機中FTP的帳號,使得主使者得以侵入其他站台淪為Gumblar的下一個犧牲品。
「由於Gumblar連鎖反應的複雜性,傳統手段的檢測,如特徵檢測和列入黑名單,對它來說是無效的,」Mary Landesman,ScanSafe的高級安全研究人員告訴我們說,「Gumblar的複雜性和驚人的增長速度應當給IT界敲響一記醒鐘」。
而gumblar引起注意是因為這幾天日本很多大型網站陸續失守,被取了GENOウイルス這個名字(GENO是日本的賣場,早期的受害者之一),這個變種似乎特別喜愛動漫界的知名網站如niconico搜尋引擎之類的(注意:不是真正的nico,而是一些私人nico影片搜尋引擎,因為對資安沒有觀念而被入侵),因而引起注意。
清單在此:通称「GENOウイルス」・同人サイト向け対策まとめ
至於實際查詢病毒方式,目前僅見的中文網站為注意!!針對同人網站進行擴散的病毒,可供參考。
懂日文的也可以看這張圖理解 (GENOウィルス・何をすれば良いか分からない人のまとめ)
雖然這波病毒相當猛烈,但仍然不需要害怕,如果你過去都有正確的防病毒習慣,那這次你大概也是安全的。
全文拜讀。請容小弟借放文章連結於自家部落格文章中,感謝!
http://www29.atwiki.jp/geno/
日本那邊整理出來的wiki,
主要是透過Adobe Reader與Adobe Flash Player的安全漏洞, 只要有更新到最新版本, 應該不會有太大問題
前兩天傳說日本某大ISP業者nifty也淪陷, 我照常登入開設在@nifty的webmail與部落格(cocolog/ココログ)
@nifty自稱是安全的,他們發了新聞稿聲明
http://0rz.tw/ZjPw0
不過關於這次問題,台灣異常的冷感,根本沒有媒體或防毒業者出來趕流行一下,這真是反常
其實我看到站長跳出來也楞了一下……心想莫非站長要轉職成全方位AV達人?
你是說我在ptt AV女優板發文嗎...(被拖走)
那張圖實在無謂到白痴的程度……最好是看網頁也能感染對方伺服器……日本阿宅的資安概念果然也是很爛(難怪常有人P2P抓到中毒走光被恥笑)……
其實看起來應該就是一般的JS或inframe掛馬,只是他採取的資訊竊取手段比較高效率(似乎有點類似當年中國名譟一時的熊貓燒香病毒),並且利用到老是一堆漏洞的ADOBE產品。
要瀏覽這類多媒體網頁非開JS和FLASH不可,因此強力的NO SCRIPT等套件也無法阻擋惡意JS碼完成下載行為。雖然這麼說,會用HIPS或PDM的人基本上是沒在怕的(下載行為一定被攔截,管他變種個幾百次都照擋)……
那是可以的,可以「感染」對方伺服器上面的網頁
XSS搜尋一下有很多
你會用HIPS嗎?我都是直接用Linux了 (紅茶)
LINUX沒有安全軟體可以玩……
感染對方伺服器通常都需要用到入侵手法吧?好像很少聽過直接用病毒就能靠瀏覽器逆向感染的。比較類似的也只有之前幾個射交網站……社交網站被利用XSS漏洞發動用戶頁面間的交叉感染。
[...] ・Suoni’s Artwork:看網頁就會中的病毒 JSRedir-R(通稱GENO病毒) ・星宿喵的萌落格:小心新病毒「JSRedir-R」(GENO/gumblar) ・通称「GENOウイルス」・同人サイト向け対策まとめ (日本語) [...]