2009.05.20 Wednesday | 16:09

  GENOとJSRedir-Rとgumblar.cn トラブル

その存在に気づいたのは手書きブログなんで手広くやっとくもんだな・・と思いました。
直接被害は周りでも無いですが、今日学校のほうには警告してます。

いろいろ調べて、記事もこれを入れると3つ目になります。

1) adobeセキュリティアップデート(09/05/12)

2) ITProより、adobeとJSRedir-Rの関連性を示すニュースが今日発表されました


で、SHPHOS のブログでは gumblar.cn について書いてあります。

the obfuscated script tries to download dangerous code from a site called gumblar.cn.

GENOの判定サイトでは、martuz.cn とあります。いずれも中国ドメインです。

GENOの判定サイトでは、今日以下のような告知がされています
「当方確認のGENOウイルスのみに関して05/20 午前2時現在では1000%以外安全です。」


JSRedir-R に関しては、生コードが WEB 上でブログに貼ってあったりとかしてるのですが、
どういう判定で100% 以下の判定( 例えば75とか ) をしていたのか不思議でなりません。
できれば判定方法を技術的に公開してほしいです。で、手書きブログが一時存亡の危機にさらされていたと
十分想像できるのですが・・

ま、悪いのはウィルス作った奴です。
困ったもんです。


GENOの判定サイトでは、昨日無かった情報がいくつか追加されています。

1) 未確認の駆除方法
2) GENOウイルス詳細

GENOウイルス詳細は、昨日リンクはあったのですが、中がからっぽだったので
作成中だったんでしょう。その中に、前述の生コードが貼ってあったブログの
リンクがありました。・・・・・だから告知なのかな?

履歴読むと、
>2009 05/20 02:24 いろいろ修正しました。2ちゃんねるセキュリティ板の方、ありがとうございました。
>2009 05/19 21:35 http://lineage2.plaync.jp/ での数値に異常があったので修正。
>2009 05/19 20:12 亜種?に対応させるため仕様を変更したところfc2の自動挿入タグに
> 反応するようになってしまったのを修正!


ふ〜〜・・・ん。なるほど。
5/19の情報を元に、いろいろ修正した結果やっとウィルス確定できるようになったわけですね。
結構無責任を裏付ける状況証拠多いですが。

あ、ちなみにウチのサイトを75% 扱いにしたのでちょっと怒ってます。



現実のインフルエンザといい、なんか世の中先がおもいやられますね。