ウィルス感染サイト報告

今日もほぼリンク切れのないサロン情報リスト（サロンリンク集）の登録サロンサイトをチェックしていたのだが、またウィルスに感染したサイトが見つかった。一時はKaspersky Internet Securityで「gumblar.cn」との通信を遮断していたのだが、サイトがウィルス感染しているかどうかをチェックするのが面倒なので、遮断するのをやめている。で、KISが警告を表示して「gumblar.cn」による汚染が確認できた。
UnderForge of Lackの作者も書いているが、感染サイトのURLを載せることには迷いがある。自分の場合は、感染サイト側も被害者だと思うからだ（感染を知りながら放置すれば加害者に変わるけど）。しかし、個人情報を盗み取られるかもしれない閲覧者のことを考えると公開すべきだと考えた。
今後も感染サイトが増える可能性があるので、こちらのウィルス感染サイト報告ページ にまとめて載せることにする。掲載した感染サイトは一日に数回チェックして、状況に変化があれば逐次反映していく。感染サイトが完全に復旧して、サイト上に感染報告がなされれば、感染報告ページから削除しようと考えている。

［追 記］
zlkon.lv/gumblar.cnに関するお役立ち情報記事（他のサイトの引用やパクリではない独自の情報）を集めたzlkon/gumblarお役立ち情報もどうぞ。

コメント

こちらではお初です。 Underforgeの管理人 G`nomeです。

http://www3.atword.jp/gnome/2009/05/09/oldschool-botnet-consists-new-malware-via-gumblar/

にも書きましたが
現在の gumblar.cn から感染させられるマルウェアによって、PCが陥落した場合、Botnetの構成員に堕ちてしまう可能性が高くなりました。

Botnetのコマンド待機と思われる IP を塞がないと、次々とマルウェアを「アップデート」させられる可能性があります。

単体IP : 78.109.29.112

スポットレンジ :
fpsx8 - Anatoliy Vasnetsoff UA
78.109.29.112 - 78.109.29.119

ワイドレンジ :
Datacenter Hosting.UA UA(ウクライナ)
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)

感染の疑いのある方は、まずこのIPの封鎖を行ってくださいませ。

ソース：
http://blog.scansafe.com/journal/2009/5/8/google-serps-redirections-turn-to-bots.html#comments
（英国のセキュリティ会社）

G`nome

投稿： G`nome | 2009年5月 9日 (土) 23時54分

Underforgeの鍛冶屋です（笑）

えと、ご質問のサイトですが、明らかに感染しています。していますが、あまりにも複雑にしすぎたため、Evalで失敗してるか、そもそも Shift-JISでバグってるかどちらかだと思います

一応検証してみます・・・

あと、リンクに張られていたので、（飛んでしまう人がいるとアレですので）一応コメントを削除しました。

今後ともよろしくおねがいします。 m(_ _)m

投稿： G`nome | 2009年5月11日 (月) 21時21分

G`nomeさん、確認していただきありがとうございます。
とりあえずサイトからのリンクは消しておいたのですが、要経過観察サイトとして掲載しておきました。

URLですが、本文中に書くのもどうかと思ったのでWebsiteに書いたのですが、Nameにリンクされるのですね。ココログの場合も間接的ですが同じでした。
今まで気にしたことがなかったので、気付きませんでした。どうも失礼しました。
メールで、とも考えたのですが、別々のアドレスだったので届くのか？と不安だったので。

投稿： excomp | 2009年5月11日 (月) 23時58分