エフセキュアブログ : ガンブラー対策「.htaccess」にも注意！ お隣の１１９チームのSEKI隊員の呟きによると、、、

ガンブラーに新しい攻撃をするものが出てきているようです。
具体的には、FTPのアカウント情報を盗用され、「.htaccess」ファイルをアップロードされます。

どうやら、JavaScript以外でのリダイレクトの方法に切り替えてきている模様。（現在、詳細確認中・・・）
JavaScriptを切ってるのを誘導しても感染させられないんだから効率悪くね？
JavaScriptを使わない攻撃方法が見つかったら洒落にならんけどねぇ。

Firefoxの自動リロード（<meta http-equiv="refresh">）を無効にする（accessibility.blockautorefresh;true）ような方法で、「.htaccess」で転送されるのをブロックする方法とかないものですかねぇ。

＜追記＞
「Firefox」＋「NoScript」では防げない新型「Gamblar攻撃」が発生（1/2）：Security NEXT 今回見つかった攻撃は、ウェブを管理するPCへウイルスが感染して、FTPアカウントが窃取され、不正アクセスによりウェブサイトが改ざんされる点は従来と同様だが、ページ内部へ「JavaScript」を埋め込む手口ではなく、不正サイトへ誘導する設定を記載したサーバ設定ファイル「.htaccess」をアップロードする点が異なっているという。

（中略）

不正な「JavaScript」の実行を制限するため、「Firefox」とアドオンの「NoScript」を用いるケースがあるが、こうした対策では今回の攻撃を防げない可能性があると同氏は指摘する。
ここまで書くからには、リダイレクト先がPDFとかなんでしょうねぇ。だったら、PDFのプラグインはアンインストールしないとですね。

ちなみにNoScriptでJavaScriptとJavaとFlashとSilverlight〓はブロックできますので、それ以外の手段で攻撃されないと言う通りにはならない筈です。

なんだか今回は出し惜しみしてるような、あるいは危機感を煽ってるだけのような（感染サイトが外部から探せなくなって脅威が増すにしても）感じがするのですが、きっと私の気のせいなんでしょう。うんきっと疲れてるんだ。そうに違いないｗ
＜／追記＞
＜追記2＞
当のLACから注意喚起が出ました。

【注意喚起】Gumblar（ガンブラー）ウイルスによる新たなホームページ改ざん被害を確認 | LAC 【動作概要】

この.htaccessファイルが置かれる影響は、主要検索サイトからのアクセス、および404、403などのエラーがApacheのリダイレクト機能で攻撃サイトに転送されることです。攻撃サイトに転送された後、他のGumblar攻撃と同様に、悪性プログラムの感染被害に遭われることが推測されます。


【従来型Gumblarとの相違点】

従来のGumblar攻撃と異なる点は、次の2点が判明しています。

1. ユーザはJavaScriptの対策だけでは防げない

Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策が可能なアドオンを利用する必要があります。

2. コンテンツファイル監視だけでは気付くことができない

コンテンツファイル自体は改ざんされておらず、さらにブックマーク（お気に入り）やURL直接入力でサイトを表示した場合は影響を受けないため、Webサイト管理者が被害に気付きにくい。

403、404はともかく、主要検索サイトからのアクセスに関しては、RefControl :: Add-ons for Firefoxで規定を「阻止」にしておけばいいか。
＜追記4＞
↑トラックバック元の