ここから本文です

解決済みの質問

知恵コレに追加する

WEBからの脅威、gumblarについて

ru7mi5さん

WEBからの脅威、gumblarについて

"gumblar"いうウイルス(?)について詳しくご存知の方いらっしゃいませんか?具体的にどんな被害を及ぼすものか分からなくて・・・。

ある日ウイルスバスター2009の機能でWEBからの脅威として、"gumblar.cn"という文字を含むアドレスが発見されました。そのとき初めて見たアドレスでしたが、調べたらどうも悪質なアドレスのよう。発見された時間は少し前の時刻。でも私はそのとき毎日通っているサイトにアクセスしていただけで、初めて見るサイト等には一切アクセスしていませんでした。「どこかのサイトが不正なHTMLを書き換えにあった?」と思い、その日閲覧したサイト全て表示させてみました。すると、WEBからの脅威は一つも発見されない、という状況。何が起こっているのかさっぱり、です。
そのアドレスに"rss"の文字列があるのも気になります。rssリーダー(IEのだけ使用)には何のフィードも登録していないのに、勝手に何か受信しているような気持ちで、怖いです・・・。

それと、<エクスプローラーで、C:\WINDOWS\system32\drivers\etcを開く。→hostsというファイルを適当な場所(デスクトップなど)にコピー。→hostsファイルをノートパッド等で開く。→ファイルの末尾に"127.0.0.1 gumblar.cn"を追加。→hostsファイルを保存して再起動。
これで"gumblar.cn"を含むサイトにはアクセスできなくなる、と考えてOKでしょうか?

ウイルス検索しても何も検出されないのですが、何度もこういうことがあり、被害があったら怖いので質問しました。

補足
早い返答を有難うございます。頂いた回答を読み「付け足しておこうかな」と思ったため少し補足を。サイト内に「gumbler.cnへの関連リンクがあると検出する」ことが自分でも確認できました。でも履歴で「検出された日にアクセスした全てのサイト」にアクセスしても今は何も検出されません。なのに全く同じ、gumblarの付いたアドレスが度々検出されます。管理人さんが貼られては剥し、貼られては剥しの作業をしているのでしょうか?

違反報告

ベストアンサーに選ばれた回答

crara6さん

サイト内に、gumbler.cnへの関連リンクがあって
それに、バスターが反応したのではないでしょうか
入り込まれては、いないと思いますよ
私のセキュリティソフトでも、Firefoxの対策機能でも
フィッシング詐欺サイトということで遮断されますね
具体的には、gumbler.cn/***.ico---で反応したので
試しに引っ張ってきてみたら、サイトは、もぬけの空のようです
また、別で悪さに励んでいるのでしょう
でも一応、登録しておきましょうか

hostsの編集は、それで結構です
コピー先は、hostsと同じディレクトリ
hosts_copyとでもしておいた方が紛失し難いのでは?

インターネットオプション→セキュリティタブで、
制限付きサイトにも登録しておくと良いと思います
hostsファイル編集が、最優先ですけど

でも、この手の詐欺サイトは、
雨後の竹の子の如く出現しては消滅するから
登録は、気休めなんですけどね
やらないよりはマシ。

次のツールで、普段からPC内の
お掃除をしておいてください
バスターの検知数も減少するでしょう
CCleaner
http://www.gigafree.net/system/clean/ccleaner.html

-------------
追記1)
早い回答、遅い返答で、ゴメンナサイ
異次元に行っていました まだ少し逝っていますw

127.0.0.1 gumblar.cn の解釈
127.0.0.1というのは、自身のPCのアドレスです
ですから、その定型記述は
(リンクしてしまうのでhttpのhは、抜いてあります)
ttp://gumblar.cn/* または、ttp://www.gumblar.cn/*
(*は、全文字列)は、PCにループバックして、
WEBには飛んでいかせなくして防御するということですね
#をつけた行は、読み込みません
#127.0.0.1 gumblar.cn だと、ループバック候補から外れます

>gumblarの付いたアドレスが度々検出されます
→gumblarという文字をgoogle検索でもすれば解りますが
その文字を、取り入れているURLは、多くあります
あくまで、ヤバイのは、ttp://gumblar.cn/*で

>貼られては剥し、
貼られては剥しの作業をしているのでしょうか?
→そんな暇人は、poko_crara6位のもんでしょう
(あ、私的な事です 流してくださいw)

悪質サイトを登録したhostsファイルを
無償で配布しているサイトもあります
ちょくちょく更新しますから、覗いて見て下さい
http://www.hosts-file.net/?s=Download
上段のhosts.zipを解凍→hostsフォルダのHOSTS.txt
を、hostsに改名して、現状のhostsと置き換えてもいい
127.0.0.1~の文字列を選択コピーして
現状のhostsファイルに付け加えてもいいし、色々やれます
127.0.0.1 gumblar.cnも登録されていますね
ただ、かなり登録されていますから、読み込みで
起動が遅くなったり、動作が鈍重になるかもしれません
その場合は、サービスの DNS Clientを停止しておく
と記載されていますが、実行は御自身の責任範囲です
現状お使いのhostsファイルは、リネーム(改名)して
バックアップしておいた方が良いですね
このhostsファイルにすると、エロ♂にとっては
規制されて、つまんねhostsファイルとなるかもしれませんw

Spybot-S&Dのようなスパイウェア対策ソフトを
インストール、アップデートすると、hostsに
悪質サイトを登録する事も出来ます
あなたの別枠質問で、suimeisohさんが
提示されているhostsファイル内容も、
そうした処置が施されていると思います
Spybot-S&D
http://www.safer-networking.org/jp/index.html

hostsファイルは
C:\WINDOWS\system32\drivers\etc\hosts
しか読み込みませんから、近辺にリネームしたhosts
(例:hosts_original)を配置しておいても大丈夫です

gumbler.cnに感染していないか、
確認する事が出来るようです 少々面倒ですが御参考までに
ttp://excomp.cocolog-nifty.com/blog/2009/05/gumblarcnmd5-1b.html

御自身の責任の元、色々試してみてくださいませ
駄文のまま、失礼致します

  • 違反報告
  • 編集日時:2009/5/14 13:04:25
  • 回答日時:2009/5/13 12:26:14

質問した人からのコメント

  • crara6さん、mokemoke1213さん、hide_quintさん、返答ありがとうございました!役立つサイトのURLも教えていただけて参考になりました。今回は一番早く、詳しい返答をくださったcrara6さんをBAに選びましたがどの返答も本当に助かりました。JavaScriptのオフはしてありましたが、不安ですね・・・。C:\WINDOWS\system32\sqlsodbc.chmファイルの確認などもしましたが私のPCは無事なようです。皆さんもお気をつけください。
  • コメント日時:2009/5/18 19:20:10

グレード

この質問・回答は役に立ちましたか?
はい
いいえ

お役立ち度:お役立ち度 3点(5点満点中)5人中 3人が役に立つと評価しています。

ベストアンサー以外の回答

2件中12件)
並べ替え:回答日時の
新しい順
古い順

 

hide_quintさん

先日、その"gumblar"にやられた者です・・・。
スパイウェアのようです。
なんとか駆除して今は正常に復帰しました。
インストールしていたMcAfeeのセキュリティセンターでは
スパイウェアが新しすぎて防ぎ切れなかったようです。


感染方法:
不正なJavaScriptが埋め込まれたページを閲覧することによって、
gumblar.cnにあるJavaScriptファイルに裏でアクセスさせることにより感染する。
→したがってJavaScriptをオフにしていれば感染は防げるものと思われます。

感染した場合の症状:
・C:\WINDOWS\system32\sqlsodbc.chmファイルが書き換えられる
・コマンドプロンプトが起動できない
・レジストリエディタが起動できない
・ブラウザの動作が不安定になる(強制終了などが多発)
・ウェブサイト管理のため等にFTPを使用すると、その時使用したIDとパスワードを盗み取り
サイトに不正なJacascriptを埋め込んでページを改ざんする
→改ざんされたサイトを見た人に感染

・・・という仕組みのようです。

gumblar.cnにはJavascriptによってアクセスがなされるために
履歴には記録されず、また「関連リンクがあると検出」にも引っかからないのではないかと推定されます。

私がウェブサイト管理用に使っているWindowsパソコンも感染し
管理している二つのサイトを更新してFTP送信した後、
トップページにgumblar.cnにアクセスするJavascriptが埋め込まれてしまいました。

ページを開いた際に、ステータスバーに「gumblar.cnに接続しています...」と表示されたのに
気付いた為、感染が発覚しました。


参考ページ:
so-netのセキュリティ通信
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884

サイト管理者で気付いた方がBlogで解説してくれています。
http://excomp.cocolog-nifty.com/blog/2009/05/zlkon-73d0.html

mokemoke1213さん

ここ最近かなり悪質なウイルスが蔓延しています。
かなり巧妙な作りになっているため感染してしまっても
ウイルス対策ソフトが無反応だったりするの
以下のサイトをよく読んでいただきご自身が感染していないか確認してみてください。

http://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%...

あなたにおすすめの解決済みの質問

C:\WINDOWS\System32\drivers\etc 内のhosts ファイルが、アプリケーションを起動するたびに消えてしまいます。 社内のパソコンで Windows XP Pro SP2 を使用しています。支社から本社にあるサーバへの接続のため、C:\WINDOWS\Sy...
TROJ_Generic.Zが検出されました。 ウイルスバスター2006を使っています。 先ほどTROJ_Generic.Zが検出され、下記のように表示されました。 ウイルス名: TROJ_Generic.Z 感染ファイル名: C:\WINDOWS\hosts 実行した処理: 不...
ウイルス?でしょうか? AVGのウイルス検査で hosts change c:WINDOWS\system32\drivers\etc\hosts て物がでてきました。これってウイルスでしょうか~毎回でてきます。リカバリーしたほうがいいんでしょうか?お願いします。
回答ありがとうキャンペーン 回答してポイントを当てよう!! 2000名様に500ポイントプレゼント キャンペーンの詳細を見る ※回答することで自動的に応募となります。

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。

お客様自身の責任と判断で、ご利用ください。

違いがわかる知恵袋

[カテゴリ:ウイルス対策、セキュリティ対策]

ただいまの回答者

12時46分現在

2324
人が回答!!

1時間以内に4,211件の回答が寄せられています。