エフセキュア、Kaspersky Labs Japan、セキュアブレインなど複数のセキュリティベンダーが、「Gumblar」に似た新しいマルウェアが検知されたと発表している。Gamblarは今春、正規のウェブサイトを改ざんすることで感染を拡大し、猛威をふるったウイルスだ。
この新マルウェアは、ウェブサイトに難読化されたスクリプトファイルをアップロードする機能と、アップロードされたスクリプトファイルを自動的にダウンロード、実行させる機能を備えている。これにより、改ざんされたサイトにアクセスしたPCが感染して、新たな感染源となり、次々に被害が拡大していく可能性がある。
以前Gumblarによる改ざん被害を受けたウェブサイトであっても、FTPサーバのIDやパスワードを変更していないなど、適切な対処をしなかった場合、再び悪意のスクリプトを埋め込まれる可能性がある。セキュアブレインの調査によると、Gumblarウイルスにより改ざん被害を受けたウェブサイト299件のうち、124件のウェブサイトで、新たな手法により再度ウェブサイトが改ざんされていることを確認したという。
改ざん被害を受けたウェブサイトのうち、「co.jp」ドメインを持つ、日本の企業と思われるウェブサイトが23件あった。「ne.jp」ドメインを持つウェブサイトは18件、「or.jp」を持つウェブサイトは9件、「jp」ドメインを持つウェブサイトは29件であった。
セキュリティベンダーではこのマルウェアへの対策として、ブラウザなどのスクリプトやActiveXの設定をオフにすること、Adobe ReaderやFlash Playerなどを含むブラウザのプラグインに最新のパッチを適用すること、一度感染が確認された場合はパスワードが盗まれている可能性が非常に高いため、パスワードを変更することを強く推奨している。
