足立自動車学校のホームページが新型8080系ガンブラーに感染しているようです。

現在もいろんなサイトがGumblar(ガンブラー)に感染したまま放置状態になっているようですね。昨日、知り合いの子がこの自動車学校に通うことになったので、知り合いがサイトを見てたら「ウイルス警告が出たんだけど誤認識かな?」と聞かれたのでチェックしてみた。

XG001806

チェックには、下のサイトを使いました。
aguse.jp
 XG001809
[Gumblarの可能性あり]と表示されました。

XG001807 
また、細かく見ると、フランスにあるロシアドメイン(.ru)のサーバーに8080ポートと使って接続に行くようです。

現在閲覧は危険なので閲覧はしないでください。avast!だと検出できました。

例によってホームページを作成した会社のPCがガンブラーに感染したんだと思うけど、ページを置いているサーバーはロリポみたいですね。Movable Typeで構築されているようだけどver.3.33で古すぎてセキュリティーホールも放置っぽいです。こういうバージョンアップも商売になると思うんだけど作りっぱなしでその後フォローしてないのはページを作った会社は営業意識とかセキュリティー意識は低そうですね。時期にもよるけど(昔は選択肢があんまりなかったから)サーバーにロリポをえらんでる時点でまあそうかなという気もします。

ついでに、Webの安全性をチェックできるサイトをまとめておきます。

McAfee SiteAdvisor - Web サイトの安全性評価と安全検索
http://www.siteadvisor.com/

Norton Safe Web, from Symantec
http://safeweb.norton.com/

gred|安全なサイトはgreen、危険なサイトはredでお知らせ。無料のWeb安全チェックサービスといえばグレッド!
http://www.gred.jp/

aguse.jp
http://www.aguse.jp/

ただし、上のページがGumblarに感染の可能性ありと判定できたのはaguse.jpと後で紹介するガンブラー専用のチェックツールGumblar Checker 3だけです。Norton Safe Webは未評価で「評価のスケジュールに設定しました」とでるだけで何時間たっても評価してくれないので役立たずですw。他のページは安全と出ましたwww。おいw。

誤認識の可能性もあるかなーと思ったのですが、aguse.jpで.ruドメインのポート8080の外部サイトへのアクセスが検出されてるしその可能性は低いと思いましたが、試しにVMware上に構築したXPにMicrosoft Security Essentialsを入れた環境を複製してアクセスしてみたところ、エッセンシャルは検出してくれませんでした。ステータスバーを見ていると上記に書いた外部.ruドメインの8080ポートへアクセスに行っているのは確認できました。実際に感染したかまでは調べませんでした。実験用の環境は即削除しました。

でも、まだ、aguse.jpだけでは不安だったので他のチェックツールはないかと思って、探してみたらGumblar専用のチェックツールを公開されているところがあったので、そちらでもチェックしてみたところ、「新型8080系のコードが発見されました!」と表示されました。間違いなさそうです。

Gumblar Checker 3
http://gumblar.s1.dynamitelife.net/ver3/index.php

Gumblar.X Checker
http://gumblar.s1.dynamitelife.net/gumx/

XG001811

 

なんにせよ、やっぱりウイルス対策ソフトはそれなりのものを入れた方がよさそうですね。

#足立自動車学校にはメールで知らせておきました。

タグ : ,