Gumblar とは

Gumblar は、本来は無害な Web サーバーに感染し、感染した Web サイトにアクセスしたユーザーのコンピューターへと感染を広げるボットネットです。Gumblar ワームは、Adobe の PDF リーダー ソフトウェアおよび Flash プレーヤー ソフトウェアの一部のバージョンに存在する脆弱性を利用して PC を攻撃します。

感染したホスト サーバーは、サイト管理者から入手したパスワードを使用して FTP 経由で Web サイトにアクセスし、その Web サイトを感染させます。さらに Web サイトから大部分のファイルをダウンロードし、Web サイトのファイルに悪意のあるコードを挿入した後、ファイルをアップロードしてサーバーに戻します。コードは、HTML、PHP、JavaScript、ASP、ASPx ファイルなどのタグを含むあらゆるファイルに挿入されます。挿入された PHP コードには、base64 でエンコードされた JavaScript が含まれており、そのスクリプトを実行したコンピューターが感染します。さらに、一部のページにインライン フレームが挿入される場合があります。通常、その iframe コードには悪質な Web サイトへの隠しリンクが含まれています。ウイルスは .htaccess および HOSTS ファイルも改ざんし、images というディレクトリに images.php ファイルを作成します。

WebAlarm による Web サーバー保護のしくみ

WebAlarm は、すべての Web サーバー データを 1 日 24 時間監視し、Web サイトを常に使用可能で正確な状態に維持します。WebAlarm は、Web サーバー上のあらゆる静的ファイル (Gumblar ウイルスとその亜種が標的にしているファイル、つまり、すべての種類の Web コンテンツ ファイル、アプリケーション スクリプト ファイル、Web ソフトウェア ファイル、およびサーバー構成ファイル) を監視します。無許可のデータ改ざんは可能な最短時間内に検出され、手動操作をまったく必要とせずに自動的に回復することができます。

WebAlarm は変更追跡に最適であり、無許可の変更からの迅速な自動回復が可能です。WebAlarm は、不足しているドキュメントや壊れたファイルを検出すると、即時にデータ所有者に警告します。