Glumbler
Nine-ballとよく似たマルウェアで、時系列ではNine-ballよりも先に登場して猛威を奮ったマルウェアです。感染経路や感染後の行動についてはNine-ballに非常に似ています。もっとも、こちらが先に登場したものなのでNine-ballがGlumblerの真似をしたというのが正解ですが。
現在猛威を奮っているWeb改ざん系マルウェアの草分けとも言えるのがGlumblerで、その仕組みは実に巧妙なものです。ちなみに、Glumblerというのは通称で、このマルウェアの正式な名称は「JSRedir-R」と言います。
このGlumblerに感染するとインターネットパケットの中からFTPアカウント情報を盗み出すことから攻撃は始まります。FTPアカウント情報が記録されているパソコンということで、ほとんどの場合は何らかの形でホームページを維持管理している人のパソコンということになります。
FTPアカウントはWebの更新に必要な情報ですから、Webの改ざんにも必要になるものです。アカウント情報の盗み出しに成功すれば、後はそのアカウント情報を利用してマルウェアが勝手にトップページにJavaScriptと呼ばれる言語で記述された不正なコードを埋め込みます。その中身が何であるかを分かりにくくするために、意味不明な文字列がたくさん並んでいるのが特徴です。
そして、Glumblerの特徴はここにもあるのですが、FTPアカウント情報を盗み出すことに成功したらそのパソコンは用済みなので、マルウェアは自分自身を消去します。これはFTPアカウント情報を盗み出した痕跡を消すためです。このプロセスが全てユーザーの気づかない間に完了すると、Glumblerの完全犯罪は成立です。これによって改ざんしたWebにアクセスしてくるパソコンに感染を広げ、そこでもFTPアカウント情報を盗み出すということを繰り返します。
このようなタイプのマルウェアが有名になったのはこのGlumblerが初めてということもあって、感染はまたたく間に広がりました。ここにはGlumblerの感染力という要素もありますが、もう1つの要素があったことが指摘されています。
それは感染の舞台となったのがWebサイトということで、コンピューターに精通しているということが当たり前のWeb管理者が自ら感染を言い出しづらかったことで、発覚や対応が遅れたとも言われています。