ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、迷惑ソフト感染駆除削除、ネットの話題を書き出してるブログです (*´w`*)ノ

書庫全体表示

 

 
無料ブログJUGEMが改ざん被害を受けてるようで、JUGEMのトップやユーザーの各ブログから不正なページを強制的に読み込ませられる状態になってます。
これはウイルスなのでしょうか? 2014年5月26日- Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11129673071
不正なコードが挿入されるのは、JUGEM内のページから読み込まれる「imaging.jugem .jp」傘下のJavaScriptファイルです。ここは韓国のサーバーを利用してるみたい。
 
hxxp://imaging.jugem .jp/js/jugemlib/viewuser.js
hxxp://imaging.jugem .jp/template/js/cookie.js
hxxp://imaging.jugem .jp/userblogheader/script.js
hxxp://imaging.jugem .jp/ad/jg_ads_init_display.js
 
不正なコードで使われてる特徴的な関数名「MM_swapphotoes」「MM_swapphotoes1」「MM_swapphotoes2」「MM_swapphotoes3」といったもの。
 
イメージ 1
JavaScriptファイルの最後尾に不正なコードが挿入されてる
 
このコードにより、ブラウザアドオン Adobe Flash Player の旧バージョンに存在する脆弱性(欠陥)を悪用したドライブバイ・ダウンロード攻撃が発動します。
 
イメージ 2
JUGEMユーザーのブログにアクセスしてみたところ
 
http://1.*.*.*/ad/ads.jpg
 → http://1.*.*.*/ad/270x320.swf (Flash Exploit CVE-2014-0515)
  → http://1.*.*.*/ad/jp.gif
   → http://1.*.*.*/inf/news1.gif (TrojanDownloader:Win32/Tandfuy)
 
270x320.swf
ttps://www.virustotal.com/ja/file/dc1a24b348968032738d0ed6e2228511a9c0fc1c633189e167b57c50ace9e42e/analysis/1400960804/
 
jp.gif
ttps://www.virustotal.com/ja/file/a35f0eb84adec621fb3f7981bd2c1546ce5ea75ce7d8fa917e633a4ea144456b/analysis/1400904058/
 
news1.gif
ttps://www.virustotal.com/ja/file/d1dc83f12b5fd0d6fb00c7d5d6791d538ee46f6b7aca187eb4ed709af88b9ecf/analysis/1400941061/
 
イメージ 4

Adobe Flash Player 脆弱性 CVE-2014-0515

先月4月下旬に定例外のセキュリティアップデートで修正されてる脆弱性です。
Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515):IPA 独立行政法人 情報処理推進機構
http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html

Adobe Flash Player用のセキュリティアップデート公開 APSB14-13 Adobeセキュリティ情報
http://helpx.adobe.com/jp/security/products/flash-player/apsb14-13.html
なので、Adobe Flash Player がちゃんと最新版に更新済みであれば、このウイルス感染攻撃は不成立に終わります。

> http://www.adobe.com/jp/software/flash/about/
 

 
[28日追記...]

Tandfuyウイルス

仮にも Adobe Flash Player が更新されてなかった場合に、最終的に感染してしまうであろうTandfuyウイルスのテキトー挙動です。
 
◆ システムフォルダに不正なDLLファイルをドロップし、Windowsのサービスに登録して常駐します。
 
手元のWindows 7(32ビット)の場合
C:\​Windows\System32\​midimapbits.dll
 
◆ いくつかのセキュリティソフトを削除しようとします?(日本語版2種、韓国系3種)
 
イメージ 3
ウイルスバスター クラウド 、 ESET Smart Security
ALYac 、 AhnLab V3 、 Naver Vaccine
 
◆ 日本や韓国の特定サイトに定期的にナゾのアクセスをします。アクセスするのは、実際にはサーバーに存在しないJPEG画像ファイル「ja523.jpg」です。
 
ttp://www.threatexpert.com/report.aspx?md5=49cea8c8a3e6777b1527c0e86b1394fd
 
ワケ分からん挙動だけど、シマンテックの2013年11月のブログ記事に登場する Downloader.Tandfuy の説明に同じ話と思われるものが…
 
何種類もの脅威を悪用して韓国を狙うサイバー犯罪者 (シマンテック)
http://www.symantec.com/connect/blogs-313
 
Infostealer.Gampass は、djdjdava.jpg という名前のファイルをダウンロードするために、これら 16 個の Web サイトにアクセスしていました。djdjdava.jpg は、画像ファイルに偽装していますが実際には実行可能ファイルであり、Downloader.Tandfuy または Infostealer.Gampass の更新版であると見られています。さらに、アクセスしていたサイトの大半はおとりサイトであり、ファイルがホストされていなかったことも判明しています。

この記事に

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

本文はここまでですこのページの先頭へ
みんなの更新記事