FFFTPの作者様、Gumblarウィルスにより FTP接続時にパスワードが
抜き取られる件についての警告が出ています。
Sota’s WebPage:脆弱性情報 GumblarによるFFFTPへの攻撃について
http://www2.biglobe.ne.jp/~sota/ffftp-vulnerability.html
FFFTPを使用していても、Gumblarウィルスに感染するわけではないのですが、感染した場合はパスワードが悪用されてしまうようですね。
SSL対応のFTPサイトの場合は、SSL対応FTPクライアントの切替を。
接続先がSSLに対応していない場合は、パスワード漏れ対応FFFTPを使用してくださいとのことです。
にょろぷにらん:FFFTP対策パッチを作ってみた
http://mag.matrix.jp/mag/queen/log/soft/eid743.html
FFFTPを使用していた場合はアンインストールしてもレジストリに
パスワードの情報が残るため、UnderForge of Lackさんのサイトに
あるように、FFFTPをアンインストール後次のレジストリを削除してください。
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host(n)
※ nは数字
詳しくは、次のUnderForge of Lackさんのサイトをご覧ください。
UnderForge of Lack 夜間便
http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/
FFFTPは国産FTPクライアントとしては無料かつ高機能なため、私もよく使用しています。
まずは、パッチだけでも当てておいて、別のFTPクライアントを探した方が良いかもしれません。
ウィルスに感染させて、外部の第三者から操作可能になっている状態のパソコンを「ボット」と呼びます。
トレンドマイクロによるとパソコンを「ボット」化させる「TROJ_BREDOLAB(ブレドラボ)」というウィルスが急増しているようです。
感染したパソコンに対して、外部から次のような不正操作が可能になります。
・パソコンの強制終了
・ファイルのダウンロード、アップロード
・セキュリティ関連のサイトへのブロック
トレンドマイクロの報告によると、このようなウィルスが増えてきたよういとして攻撃ツールや不正プログラムの時間貸しサービスなどのビジネスモデルが確立したため、誰でも使用出来るようなツールが開発されるようになったことが、原因のようです。
感染には色々な経路があるようですが、大手の宅配業者を装ったメールもあるようです。
身に覚えのないメールは開かない、メール本文にあるURLはクリックしないなど、対応にお気をつけください。
関連情報:
・トレンドマイクロ:インターネット脅威マンスリーレポート【2009年9月度】-ボットを操作する管理画面が使いやすく
・トレンドマイクロ:ボットについての基礎知識と被害を防ぐには
以前、お客様からご依頼で、USBフラッシュ等ののチェックを行ったところ、「MAL_OTORUN1」と「SPYWARE_KEYL_ASTLOG(アストログ)」の2つが検知されました。
「MAL_OTORUN1」は、以前とUSBで感染するウィルスの関連で、autorun.inf を使用して不正なプログラムを
実行するタイプです。
「SPYWARE_KEYL_ASTLOG(アストログ)」はスパイウェアで、* で表示されるパスワードを記録し、テキストファイル
もしくはhtmlファイルにインポートされる可能性があるようです。
両方とも、「Symantec Endpoint Protection」では
検知されませんでしたが、「ウィルスバスター」では検知されました。
(2008年10月6日時点)
トレンドマイクロのウィルスデータベースを確認すると、「SPYWARE_KEYL_ASTLOG(アストログ)」に関しては
「不正プログラム」とは断定できないプログラムのようですが、パスワードを別ファイルに保存されてしまうのは面白くないですよね。
ウィルスバスターをお持ちでない方は、「ウィルスバスターオンラインスキャン」でも検知・駆除できますので
お試しください。
それにしても、USBで感染するタイプのコンピューターウィルスに関しては、「Symantec」は甘いのかな?
ウィルスが実行すれば検知・駆除する筈ですが実行していない状態だとわからないのかも知れません。
「MAL_OTORUN1」と「SPYWARE_KEYL_ASTLOG(アストログ)」に関しての詳しい情報は下記サイトをご覧ください。
MAL_OTORUN1
http://www.trendmicro.co.jp/Vinfo/virusencyclo/default5.asp?VName=Mal_Otorun1
SPYWARE_KEYL_ASTLOG
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=SPYWARE%5FKEYL%5FASTLOG
トレンドマイクロ社では、月ごとにインターネット脅威のレポートを公開しています。
最近の流行(?)もわかりますので、一度ご覧になってはいかがでしょうか。
インターネット脅威マンスリーレポート – 2008年9月度 | セキュリティ情報:トレンドマイクロ
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20081006031826.html
弊社のブログでも以前ご紹介しましたが、USBメモリに「autorun.nsf」を作成し感染するパターンも一般的になってきたようです。
メールはもちろんですが、ホームページの閲覧やソフトのダウンロードなどでも感染が多くなっていますので、皆様もお気を付けください。
以前、USBメモリ経由で感染する「W32.Gammima.AG」 ウィルスを、パソコン・USBメモリから駆除しましたが、しばらくするとまた検知されてしまいました。
ユーアイシステムのブログ:W32.Gammima.AG ウィルスの駆除
http://uisystem.jp/2008/08/20/500.html
どうもUSBメディアから駆除しているようなのですが、USBメモリには存在していませんでした。
色々調査したところ、デジカメの記録メディアにウィルスが残っており、パソコンに接続するたびに感染していたようです(涙)。
そういえば、デジカメのメディアもパソコンに接続するとUSBメモリとしての認識ですね(笑)
リムーバブルディスクとして、認識されるものに関してはウィルスに感染する可能性がありますので、皆さんもご注意ください。
こんな、メディアもウィルスに感染しているかも…
