zlkon.lv から gumblar.cn へ
Published: 2009/06/04
create at 2009/05/07update at 2009/06/04
GGaT & Mudrockさんの書かれたGENO(ZLKON)ウイルス 新たな脅威?の後、ゴールデンウィークに入ってからzlkonの変異タイプ?のインジェクションが拡大しているようです。
たとえばこのようなスクリプトがインジェクションされていて、
解読するとこうなります。
gumblar.cnは中国のレジストラで取得されたドメインでIPアドレスは固定で現状はロシアです。
gumblar.cn. 300 IN A 94.229.65.172 ;; AUTHORITY SECTION: gumblar.cn. 300 IN NS ns2.everydns.net. gumblar.cn. 300 IN NS ns3.everydns.net. gumblar.cn. 300 IN NS ns1.everydns.net. gumblar.cn. 300 IN NS ns4.everydns.net. ;; ADDITIONAL SECTION: ns1.everydns.net. 300 IN A 208.76.56.56 ns2.everydns.net. 300 IN A 208.76.62.100
Domain Name: gumblar.cn ROID: 20090422s10001s30804494-cn Domain Status: ok Registrant Organization: NetworkProtect Registrant Name: TiankaiCui Administrative Email: cuitiankai@googlemail.com Sponsoring Registrar: Name Server:ns1.everydns.net Name Server:ns2.everydns.net Registration Date: 2009-04-22 03:24 Expiration Date: 2010-04-22 03:24
inetnum: 94.229.65.160 - 94.229.65.191 netname: LIMIT-SUREHOST-IP-3 descr: LIMIT SUREHOST IP RANGE 3 country: RU admin-c: AAS188-RIPE tech-c: AAS188-RIPE status: ASSIGNED PA mnt-by: UKSERVERS-MNT changed: david@ukservers.com 20081209 source: RIPE
傍目から見てもwindowsでNT6が対象のようです。アンチデバッグ環境的な変な動きもするようです。
しかし、windows vistaへの買い替え、ましてやwindowsから他OSへの乗り換えを推奨する攻撃ってわけでもないでしょうが。。。状況は怖いので、他のOSを使うというも解決法の一つではあります。
感染は下記のようような感じ
http://gumblar.cn/rss/?id=xxxxxxxxxxxx ⇒ 一段階目の環境チェック?アクセス制限機能の一つ?
http://gumblar.cn/rss/?id=2 ⇒ Virustotalの結果
http://gumblar.cn/rss/?id=3 ⇒ Virustotalの結果
http://gumblar.cn/rss/?id=10 ⇒ Virustotalの結果
アンチウィルスの反応は非常に悪いです。downloadされるファイルがころころ変わるのかもしれません。
また何かしらのアクセス制限をされていて、一定期間?同一IPからのファイルのダウンロードはできなくなります。
多くのURLフィルタでこのドメインはブロックされるようになってますので、とりあえず気づくことはできるようになっているかもしれませんが、ドメインをgumblar.cnから変更されれば終わりです。また、インジェクションされているサイトの検出はほぼスルーです。一部のリンクチェッカーは反応してくれるようでgoogleの検索結果にインジェクションされたサイトが含まれていても反応してくれますが、完全ではありません。
インジェクションされているスクリプトも下記のようにバリエーションがあり、あきらかにランダムにオートジェネレートされているっぽいのでパターンマッチの自動化も難しいですね。
たぶんMalicious PDF Server injectionとも関連してるかな?となると関連するのがもう一ついますので、後ほど書きます。「iframe src系」「script src系」から次の手法に変化したってことですかね。
とりあえずブラウザのjavascript機能はデフォルトOFFにすることが基本ですかね。iframeも禁止にすることでより強固になりますが、今の世の中、両方をOFFにするとまともにページが表示できなくなりますので、少なくともjavascriptはOFFで。
by jyake