09/05/17 14:51:42 AMQ1/yPk
>現在拡散している Gumblar.cn
>zlkonの亜種ですが以下のような特徴を持っています。
>インジェクションコードが難解になった
>バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
> ※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
>感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
>感染しない環境には何も返さない(更に検証が難しい)
>亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
> ※検出率が上がる頃には次の種類になっている
>感染の疑いがある場合
>XP / 2000 の方は sqlsodbc.chm をチェックしてください。
>※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
>URLリンク(www3.atword.jp)