JSRedir-R、GENOウィルス、Zlkon、Gumblar、martuzについてのメモ

webサイトを閲覧しただけで感染するタイプのウィルスで、最近猛威を振るっているようです。
日本ではGENOウィルスと呼ばれ、セキュリティ企業のソフォスはJSRedir-Rと命名しました。
攻撃に利用していたドメイン名からZlkon、Gumblar、martuzなどと呼ばれる事もあります。

かなりざっくりとした動き

  1. 不正なJavaScriptコード(A)が埋め込まれたページにアクセスする。
  2. JavaScriptコード(A)によって、攻撃用のJavaScriptコード(B)がダウンロードされ、実行される。*1
  3. JavaScriptコード(B)によって、脆弱性をついてウィルスを感染させる。
  4. 今のところはAdobe Reader脆弱性Flash playerの脆弱性をついたものが中心。
  5. 感染した場合、そのPCから普段使用してるFTPアカウントを使いログインし、JavaScriptコード(A)を埋め込む。*2

怖いところ

なんといっても、webサイトを閲覧しただけで感染する可能性があることですが、対策の難しさも怖いところです。
JavaScriptコード(A)は、ブラウザやOSのバージョンチェックと、実際に脆弱性をついた攻撃を行なう為のJavaScriptコード(B)をダウンロードするという、シンプルなもののようです。
逆に、JavaScriptコード(B)は攻撃用に作られ、頻繁に内容が更新されていています。
恐らく脆弱性を修正しても、別の脆弱性をつく形に更新される為、対策が非常に難しいものになっています。
今のところAdobe Reader脆弱性Flash playerの脆弱性をついているようですが、他の脆弱性への攻撃に容易に切り替えが出来る為、注意が必要です。

取り急ぎしておくべき対策

  1. OSのアップデート*3
  2. ブラウザを最新版にする*4
  3. Adobe Readerを最新版にする*5
  4. Flash Playerを最新版にする*6
  5. Adobe Readerの設定を変更しAcrobat JavaScriptを使用しないようにする。
    1. 編集 → 環境設定 → JavaScriptAcrobat JavaScriptを使用 のチェックを外す。

頻繁に更新されるという性質上、この対策をしておけば絶対に安全とはいえません。
なので、下記の様な対策をしている人も居るようです。

  1. FirefoxならNoScriptアドオンを入れて、JavaScriptFlashを基本無効にし、安全だと確信がある場合のみ、一時有効にする。
  2. ブラウザの設定でpdfはダウンロードするだけで、自動で開かないようにする。
  3. Flashを再生出来ないようにするか、Flash Playerを削除する。*7
  4. 今回は関係ないけどJavaも切っておく。
  5. IEならactiveXを無効にする。
感染してるかどうか

GENOウイルスまとめ - 対策と駆除方法

参考情報

ニュース
  1. 新たな「Webウイルス」が猛威、感染被害が急増:ITpro
  2. Adobe ReaderやFlash Playerの脆弱性を突く「Webウイルス」に注意:ITpro
まとめ
  1. GENOウイルスまとめ - トップページ
  2. GENOウイルスチェッカー Ver.1.1
より踏み込んだ情報
  1. zlkon.lv
  2. 【緊急】同人サイト、GENOを中心に新型ウイルス蔓延中 - おしゃべり総合商社「ネイリー」
  3. UnderForge of Lack » zlkon
    1. このブログは、かなり詳しくこのウィルスについての情報を、頻繁に書いています。

*1:必要に応じてJavaScript以外もダウンロードします。今回はPDFファイルもダウンロードするようです。

*2:感染者が普段更新してるwebサイトに、JavaScriptコード(A)を埋め込む。

*3:Windows Updateなど

*4:IE6とIE7とIE8は別ものなので、IEを使ってる場合はWindows Updateだけど、IE6はそろそろ捨てて欲しい。

*5:このエントリ時点の最新は9.1.1

*6:WindowsではIE用のFlash Playerとそれ以外のブラウザ用のFlash Playerがあります。アップデートはそれぞれ行なう必要があります。

*7:OperaならFlashを無効にする設定が可能。FirefoxはNoScriptアドオンで可能。