Trend Micro Security

TROJ_KATES

2013年7月15日

 別名:

Gamburl, Gumblar

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

GUMBLAR」ファミリは、2009年に注目されました。大量のWebサイトが改ざんされ、改ざんされたWebサイトは、「GUMBLAR」として検出される不正なスクリプトを組み込んでいます。「SQLインジェクション」と異なり、「GUMBLAR」は、収集したFTP認証情報を利用しすることで、大量のWebサイトを改ざんしました。

「GUMBLAR」は、情報収集機能を備える「KATES」ファミリをダウンロードすることで知られています。「KATES」は、FTP認証情報を収集することで、「GUMBLAR」マルウェアの背後に潜むサイバー犯罪者がさらに多くのサイトを改ざんすることを可能にします。さらに、「GUMBLAR」ファミリの亜種のなかには埋め込まれた「KATES」のバイナリコードを含んでいるものもあります。これによりコンポーネントファイルを実行することなく、直接「KATES」を作成することが可能です。

「GUMBLAR」は、脆弱性を利用する特別に細工されたファイルもまたダウンロードします。脆弱性が実行されると、情報収集機能を備える「KATES」ファミリをダウンロードすることとなります。

「GUMBLAR」ファミリの亜種のなかには、「KATES」の他に、「FAKEAV」や「WALEDAC」、「DAURSO」といったファミリ名を持つマルウェアをダウンロードするものもあります。


  詳細

メモリ常駐 はい
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}r.cn/rss/?id={generated string}
  • http://{BLOCKED}-tank.co.uk/acatalog/links.php?s={random}&id=2
  • http://{BLOCKED}nfs.com/images/gifimg.php?s=ZhOhUDhpM&id={random numbers}
  • http://{BLOCKED}tar.com/zrida_1/player-mp3.php?s={random}&id=2
  • {BLOCKED}ukula.com
  • {BLOCKED}z.cn
  • {BLOCKED}ack.dp.ua


  対応方法

対応検索エンジン: 9.300

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください