「Gumblar」はHP改竄ウイルスではない?
ウイルス「JSRedir(ジェイエスレディール)」(別名「Gumblar」「GENO」等)感染が原因とされる一連のHP改竄事案、今回の挙動で特筆すべきは、「感染したPC内のHTMLファイルが改竄されるわけではない」ということだ。従来、ウイルスによってWEB上のHTMLファイルが改変される事案では、「Redrof」に代表されるように、ウイルスが感染PC内のHTML等のファイルを書き換えるというところに特徴があった。
従来のHTML感染型ウイルス
- ウイルス感染
- PC内のHTML書き換え
- アップロード
- WEB上に感染ファイル掲載
窃取者と改変者は別人?
今回のウイルスの場合、感染したPCの通信を監視してFTPアカウント及びパスワードを窃取、他のPCからFTPサーバに接続してFTPサーバ上のファイルを改変するという手口になっている。なぜわざわざこんなに手の込んだことをするのだろうか。
これはひとつの推測なのだけれど、感染PCからパスワードを窃取する悪意者Aと、FTPサーバへの不正アクセス者Bは別のチームによる行為ではないだろうか?
FTP通信を監視してその情報を窃取する際、盗まれたパスワード等の情報はどこかのサーバに転送されているはず。その転送先のサーバを閲覧できる者ならば、誰でもその情報を利用できるようになっている可能性がある。どういう形態でサーバに置かれているのか、そのサーバに蓄積された情報が誰でも利用可能な状態で置かれているのかは分からないけれども。
FTP通信だけではない?
さらに恐ろしい推測は、「このウイルスが監視しているのはFTP通信のみとは限らない」ということ。今回はたまたまFTPが狙われたけれども、インターネットの接続用アカウント及びパスワードも抜かれているかも知れない。それだけではない。ネットバンキング利用者であれば、銀行の口座にアクセスされて金銭的な被害に遭う可能性がある。
今回はHP改竄という事象が発覚したことから少なくともFTP通信は抜かれていることが分かったけれど、被害がこれだけで済むのかについては現時点でははっきりしていない。個人的にはこのまま問題が収束することについて、どちらかというと懐疑的。少なくとも、感染PCがボットネット化して、今後別の挙動が起きる可能性はかなり高いとみている。
トレンドマイクロによると、「JSRedir」の挙動自体は「特定のWebサイトにアクセスし、他の不正なファイルをダウンロードする」というところまでのようだ。(ソース)
その後どのような動作(どんな通信を監視)するかは、誘導先のサイトからダウンロードされたプログラムの内容によって異なるものと考えられる。現在はダウンロード先のサイトが閉鎖されたかと伝えられているが、これですべての問題が収束したと考えるのは早計だろう。閉鎖前に感染したPCがボットネット化し、新たな問題を引き起こすことは十分にあり得る。
犯人はどこにいる?
なお、現在までに観測されているHP改竄に利用されるFTPの発信元はすべて海外が発信元となっている。当初はラトビアのみだったが、その後ロシア、アメリカ他世界中の各地域からのアクセスが確認されている。もっとも、FTPに利用されている発信元となっている端末も、恐らくはボットネット化したPCが踏み台(OPEN Proxy)として利用されている可能性が高く、発信元IPアドレスが分かったところで、どこの国に悪人がいるのかという犯人捜しができるわけではない。
日本からのアクセスが観測される日も近いだろう。そのとき、日本のISPはどのような行動をとるだろうか。
追記
「このウイルスが監視しているのはFTP通信のみとは限らない」との推測を書きましたが、シマンテックにウイルス名「Daonol」として掲載されている情報によると、監視されているのはFTP通信のみのようです。ただし、PCにトロイの木馬が埋め込まれているので、新たなマルウェアをダウンロードしてくる可能性は常にあります。FTP通信のみではありません。(ソース)。(2009/6/9に情報が更新されていました。)
さらに追加情報。特定の文字列を含むURLにアクセスされると自分自身を削除するんだって!削除後はウイルス対策ソフトを走らせても検知できないわけですよ。検知できないから自分のPCは問題ないと思っていたら大間違いで、既にFTPアカウントとパスワードは抜かれていると。賢いね。
