ちまたで噂の Gumblar (Daonol) ウイルスですが、ちょっと調べてみますと、PE 形式で、 DLL ファイルな拡張子みたいで、デバイスドライバーとして常駐するタイプで、FTP トラフィックを監視して、とか書いてあります。
トレンドマイクロ http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FKATES%2EB&VSect=Td
> TSPY_KATES.B - 詳 細
※ トレンドマイクロさんの対応方法はいまいち役に立たないので、midi9 で検索した方が良いかと。reg delete なページがたぶんトップに出ます。
トレンドマイクロ http://blog.trendmicro.co.jp/archives/2924
> 2009/06/10 Stolen FTP Credentials Key to Gumblar Attack
> http://blog.trendmicro.com/stolen-ftp-credentials-key-to-gumblar-attack/
で、ホームページビルダー↓って、 FTP にしか対応していないみたいなんですよね。
日本IBM http://www-06.ibm.com/software/jp/internet/hpb/products/function.shtml#site
> IBM ホームページ・ビルダー14 機能一覧 - Japan
トラフィック、もろに盗み見られそうです。
まあ、大手企業がホームページビルダーで転送ってことはあるまいとは思うのですが、下請け製作会社の同じ部署が中小企業向けで使っているとかってケースはありそうな気もします。それにしたって ftpd を IP アドレス制限無しで Internet 側にオープンってのはちょっと考えたくないですが。 ftphosts ファイルとか ftpaccess ファイルとか、conf ファイルで Allow from all|none|host|network とかとか。tcp_wrappers 経由とかもあります。
(おまけ)
WinSCP か Tera Term でも入れて、と思っても、弱小プロバイダーだと 22/tcp って開けてくれてなかったりして。
やっぱ、レンタルサーバーでしょうか。
(関連)
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20100108_341331.html
> 「Gumblar」はAdobeのゼロデイ脆弱性も使用、ユーザーは対策を
Adobe Reader の例の脆弱性話です。やっぱりこの年末年始にぐっと広まった気がするのですが・・・・・・・・・。
メニューの「編集(E)」 -> 「環境設定(N)」 で、JavaScript をオフにしておくだけでかなり違うそうです。
いじょうです。
-
- -