ウィルス『ガンブラー』について教えてください。

Question

ウィルス『ガンブラー』について教えてください。

最近よく耳にする『ガンブラー』というウィルスは
どんなものなのでしょうか？
感染しているサイトを見ただけでも感染するとか
言う話も聞きます。

私のパソコンは、『ウィルスセキュリティ』という
ウィルス対策ソフトを入れているのですが、
それでも感染する可能性があるのでしょうか？

また、不特定多数の人とネットのゲーム等をしたり
チャットをしたりしていたら感染する可能性は
高いのでしょうか？

また、対策方法や、駆除方法もあったら教えてください。

感染して、今パソコンの中に保存しているものが
消えてしまわないかどうかが、１番気になっています。

宜しくお願いします。

redirect · Accepted Answer

>どんなものなのでしょうか？

ですから、不正にサイトを改ざんして難読化したリダイレクトコードを忍ばせ、アクセスしてきたユーザーを外部の攻撃サーバに誘導します。これはバックグラウンドで行われるため画面上は変化ありません。

そして、Adobeなど特定のアプリケーションの脆弱性を突いた攻撃を行い、その攻撃サーバあるいはまた別の外部サーバからマルウェアが送り込まれて実行されるという仕掛けです。ダウンローダが送り込まれる場合もあります。また、USB拡散が行われるパターンも多いです。

従いまして、各種アプリケーションのアップデートチェックなどに疎い人ほど感染リスクが潜在的に高いと言えます。

>感染しているサイトを見ただけでも感染するとか
言う話も聞きます。

ええそうです。これがミソですから。

>ウィルス対策ソフトを入れているのですが、
それでも感染する可能性があるのでしょうか？

ウイルスセキュリティーは性能に優れるソフトではありません。

>また、対策方法や、駆除方法もあったら教えてください。

個人的にはKaspersky Internet Security 2010をおすすめします。仮想実行スペースを搭載してますので、これ上でブラウザを稼動させてるとどんなに悪性なサイトを踏みまくろうと問題ありませんので。ただし、自分でサイト上で入力した情報などは保護されるわけではないのでこの点は注意のこと。

azs145 · Answer

Gumblar(ガンブラー)とは？
ガンブラーは、2009年5月以降に感染が広がったたトロイの木馬系ウイルス。感染被害にあったGENO(PC通販サイト)にちなんでGENOウィルスの別称でも知られる。

－その攻撃手法－
ガンブラーに感染したwebサイトは管理者の知らぬ間に不正なJavaScript(ジャバスクリプト)をwebに埋め込まれ、脆弱な環境の閲覧者に JavaScript(ジャバスクリプト)を読み込ませる。感染が疑われる場合は、サイトのHTMLソースを確認し、貼り付けた覚えのないコードが勝手に追加されてないか確認する必要がある。
http://money.zarathustra-wins.net/2010/01/%E3%82%AC%E3%83%B3%E3%83%96%E3%83%A9%E3%83%BC%E5%AF%BE%E7%AD%96%E3%81%AE%E6%83%85%E5%A0%B1%E3%81%AE%E3%81%BE%E3%81%A8%E3%82%81/

redirect · Answer

#2です。若干追記。

>不特定多数の人とネットのゲーム等をしたり
チャットをしたりしていたら感染する可能性は
高いのでしょうか？

このGumblarに限らず、潜在的な可能性は高くなります。なぜなら、攻撃者はソーシャルクラックを巧みに利用してくるからです。

なお、ブログパーツがどうたらこうたらという人がいますが、Hidden Frameという仕組みを利用して攻撃が行われることも多いです。

redirect · Answer

#2です。若干追記します。

>不特定多数の人とネットのゲーム等をしたり
チャットをしたりしていたら感染する可能性は
高いのでしょうか？

Gumblarに限らず潜在的な可能性は高くなります。なぜなら、攻撃者はソーシャルクラックを巧みに利用してくるからです。

なお、ブログパーツがどうたらこうたらという人がいますが、Hidden Frameというものを利用して攻撃が行われることも多いです。

Niwatori-Sanpo · Answer

今朝もテレビのニュースで報道されていましたね。

　ITPro の「セキュリティ」ページでもその話題ばっかりです。

http://itpro.nikkeibp.co.jp/article/NEWS/20100107/342933/?ST=securityhole

http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/?ST=securityhole

http://itpro.nikkeibp.co.jp/article/NEWS/20090522/330541/?ST=securityhole

http://itpro.nikkeibp.co.jp/article/NEWS/20091224/342678/?ST=securityhole

http://itpro.nikkeibp.co.jp/article/NEWS/20100107/342967/?ST=securityhole


＞また、対策方法や、駆除方法もあったら教えてください。

　参考までに、オイラのセキュリティ方針を以下に紹介しておきます。

http://okwave.jp/qa/q5237976.html

　解答番号の No.3 が、それです。


　重複しますが、関連プログラムの脆弱性やアップデートに関する情報に
ついては、次のサイトをチェックしておくと良いでしょう。

http://www.npa.go.jp/cyberpolice/

John_Papa · Answer

まず対策から行きましょうか。
ＯＳ、ブラウザ、ＰＣ内のアプリケーションソフトが感染に利用されないように、最新のアップデートで「脆弱性」を取り除いておくという作業を、ＰＣユーザーがそれぞれで行うことが必要です。
もちろんアンチウイルスソフトも最新の状態にしておくのは言うまでもありません。
利用されやすい脆弱性を初心者でも簡単にチェックできるように工夫されたサイトがあります。
「MyJVN バージョンチェッカサービス」
http://jvndb.jvn.jp/apis/myjvn/
バージョンアップもしばしば繰り返されますし、脆弱性のあるアプリケーションはこれだけではありませんので、これさえしておけば、と言うものではありませんが、
バージョンアップ方法についても親切に記載されていますので利用してください。
adobe社のソフトは12日にも予定されていますし、最新のバージョンかどうかチェックするために繰り返し利用される事をお薦めします。

Gumblar（ガンブラー）は、改ざんされたサイトを閲覧することによりマルウェアを密かにインストールします。マルウェアはその後多数密かにダウンロードされ、役割を終えたマルウェアは痕跡を残さずアンインストールされる機能を持っているそうです。犯人はマルウェアのバージョンアップができるということですね。以後、感染ＰＣは犯人によってロボットにされますが、現在のところ、指令サーバーに接続し、ＦＴＰによってサイトの管理をしている場合にはページの改ざんをする以外の活動は確認されていないようです。日本でロボットにされたＰＣは昨年１２月時点で７％と推計されます。（あるプロバイダーで、判明しているボット指令サーバーに接続するトラフィックを調べた、統計上有意なデータです。）
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/021.html
Gumblarは、こまめにバージョンアップすることでも有名で、私も何度もhttp://www.virustotal.com/jp/でチェックして来ましたがGumblarの活動期にアンチウイルスソフトに引っかかる事は稀です。Gumblarのサイトの改ざんには、トラッキングクッキーやこのページの右サイドなどの広告・ブログパーツと全く同じ手法が使われている為、それが無害か有害かで仕分けるしか方法がありません。従って昨日のニュースに有ったように、本来なら無害でなければならない「Norton Police City in Ameba キャンペーン ブログパーツ」がマルウェアになっていたという事も起こります。
http://internet.watch.impress.co.jp/docs/news/20100107_341011.html
昨年は、ウイルスを含むマルウェアの件数は大幅に減少しましたが、新種の発生数は過去２０年を昨年1年だけで超えてしまったそうで、このあたりからもウイルス対策企業が翻弄され奔走する様子が伺えます。
http://internet.watch.impress.co.jp/docs/news/20100108_341367.html

先ず、脆弱性を無くし感染ルートを押さえる事、感染してしまったら見つけることは困難です。
IPAでも再三、注意を呼びかけています。
http://www.ipa.go.jp/security/topics/20091224.html
最初に紹介した　http://jvndb.jvn.jp/apis/myjvn/　で脆弱性の対策済みと判定されていれば一先ず安心というところでしょうか。正確には統計で引用したように専門的にＰＣのインターネットトラフィックを観察してみなければ判定できません。
ウイルス対策ソフトを最新にし、常駐保護ではなく全ドライブの検査（スキャン）を毎週程度繰り返す事をお薦めします。最近のGumblarに対しては他の回答者も推薦されているカスペルスキーが、たいした検出率ではありませんが他に比べて高いようです。

GumblarによるボットＰＣが一斉にサーバー攻撃に動き出すと、たちまちインターネットは麻痺してしまうでしょう。

Microstar · Answer

私は今社会問題になっているＰＣウィルスには感染されていませんが、ニュースを読んだ範囲内で説明します。

ウィルス『ガンブラー』はまず企業サイトＷＥＢ管理者の使用していているＰＣをターゲットにして感染させます。

そのＰＣからそのパスワードを盗んで企業サイトのページにウィルスファイルを悪意のある他サイトからダウンロードできるようにＵＲＬを仕込みます。ＰＤＦ、フラッシュプレイヤー関係をです。

一般ユーザーは仕込んだサイトへアクセスすると、勝手に悪意のあるサイトから様々なウィルスをＰＣへ感染させるようにしているのです。

何故そうなるのかというと企業の管理者パソコンは、ウィルス感染対策をしても搭載しているソフトにすぐセキュリティパッチ、アップデートを当てるようにしていないケースが多いです。
企業の管理者はソフトのアップデートは検証してから当てるという考え方が強いので、逆に言えばＰＣウィルス感染対策の弱みを狙ったものといえます。
もしこまめにソフトのアップデートをしていけばそういう感染のリスクは非常に低かったのでは？と思います。

ＰＣウィルス感染対策は、高機能のセキュリティソフト、搭載しているソフトにセキュリティパッチ、アップデートをこまめに当てていくようにするのが一番いいです。

kogechibi · Answer

昨年大騒ぎになったGENOウィルスの亜種らしいです。
昨年私はこれに引っかかって非常に困りました。
詳しくはカスペルスキーのご案内をお読み下さい。
http://www.just-kaspersky.jp/products/info/alert_gumblar.html

ウィルス『ガンブラー』について教えてください。

>どんなものなのでしょうか？

Gumblar(ガンブラー)とは？

#2です。

#2です。

今朝もテレビのニュースで報道されていましたね。

まず対策から行きましょうか。

私は今社会問題になっているＰＣウィルスには感染されていませんが、ニュースを読んだ範囲内で説明します。

昨年大騒ぎになったGENOウィルスの亜種らしいです。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

　今朝もテレビのニュースで報道されていましたね。