Gumblar(ガンブラー)ウイルスと動作原理
Gumblarウイルスは、“普通にアクセスしているホームページ”から知らない間に、ウイルス配信サイトに誘導(リダイレクトやURL転送など)し、閲覧しているコンピュータにウイルス感染被害を発生させるホームページ誘導型ウイルスの俗称です。
Gumblarの原理
- ①:攻撃者は感染した管理者PCからFTPアカウントを盗む
-
- スパムメールやアダルトサイトなどからのリンクによって、攻撃者が設置した悪意のあるWEBサイトに誘導する。
- 不正なプログラム(ウイルス)をダウンロードさせ閲覧したパソコンにFTP通信を盗聴を可能にする。
- ウイルスは、FTP通信が盗聴できたら、ID・パスワード・サーバIPアドレスなど、WEBサーバにアクセスするための情報を攻撃者に送信する。
- ②攻撃者はFTPアカウントを用いてHPを改ざん
-
- 攻撃者は、ウイルスから得た情報をもとに感染させたPCが管理するWEBサーバのアクセスする。
- WEBサーバは、攻撃者からの通信を正式な管理者からのアクセスと認識し、ログインを受け付ける。
- 攻撃者は、さらに感染を拡大するためにWEBサーバの コンテンツを書き換えウイルスを流し込む。
- ③WEB閲覧者は、埋め込まれたスクリプトにより悪意のサイトへ無意識にアクセス
-
- WEB閲覧者は、無意識に攻撃者の設置したサイトに誘導されます。
- ④WEB閲覧者は、ウイルスをPCにダウンロードし感染します。
-
- 閲覧者のPCは、誘導されるがままに、ウイルスをPCに取り込みます。
- ウイルス対策はセキュリティパッチの適用が不十分なPCにて、発病し攻撃者の意図した、個人情報へのアクセス・さらなる感染の拡大行為などを試みます。