|
小林製薬の一部のサイトが改ざん被害を受けたそうな。タレント照英さんのサイト改ざんと同じく、GENOウイルス・Gumblarウイルスとか呼ばれてるシロモノのようで。Flash PlayerとAdobe Readerの旧バージョンにある脆弱性(1・2)を突いて、ページを単に見ただけでウイルス感染する恐れがあるもの。 HTMLファイルのBODYタグ直前やJavaScriptファイルに挿入される不正タグは、パッと見意味が分からないよう難読化処理が施されてます。その中に出てくる一定数の文字列をキーワードにGoogle&Yahoo!で調べてみると、(日本外が多いとはいえ)感染ページがざーくざくヒットしますな。 企業系サイトに、まんま普通の個人サイト・・・、おそろしや。 (15日追記...) ◆ Q&A系サイトで尋ねる方々 ・ヨミサーチを設置後、htmlソースがおかしくなりました。 ・HTMLにいつのまにか謎の文字列が挿入されています。 ・自分の運営する複数(すべて)のサイトにウィルスのコード(javascript)が埋め込ま... (Yahoo!知恵袋) ・ソース上に出てくる理解不能なコードについて (OKWave) ◆ ウイルス検出名 Gumblerウイルスへと導く不正なJavaScriptコード(gumblar.cn)の検出名。(17日23時30分のVirusTotal、「VirusBuster」はトレンドマイクロとは無関係でハンガリーのセキュリティベンダー)
あくまで不正コードが挿入されたHTMLファイルのみをVirusTotalを利用してスキャンした結果なので、実際の総合セキュリティソフトを導入済みの場合、別の検出機能で認識できてる場合も考えられます。あと、この不正コードで送りつけられるであろう肝心のウイルス本体の検出状況は分かりません。(1日に何回も差し替えされてるらしく、定義ファイルとしての対応が困難みたい) 今や秒レベルで新種ウイルスが作り出されてる中、100%の検出率を誇る完璧なアンチウイルスソフトなぞ存在しません。 (17日追記1...) UnderForge of Lackさんによると、接続する外部サーバーの「gumblar.cn」に変わる新ドメイン「martuz.cn」が・・・(難読化解除の画像)。日本サイトへの襲来が来なければいいけど。 (17日追記2...) と思ってたら、日本の複数のサイトで確認。多くの感染サイトで不正コードが「gumblar.cn」から「martuz.cn」のものにすげ変わっとる・・・。すり抜けたもの、検出できたもの。 で、「martuz.cn」の方で落とし込まれるファイル群をVirusTotalでスキャンした結果がコチラのフォーラムにて公開されてます。ウイルス製作者がファイルを差し替えてしまえば意味ないものですが・・・。 今までと変わらず、Flash PlayerとAdobe Readerの旧バージョンにある脆弱性を突いた攻撃なので、必ず最新版の導入を。(avast!やWindows VistaはAdobe製品の脆弱性の修正なぞしてくれません)
|

>
- コンピュータとインターネット
>
- コンピュータ
>
- Windows







こんばんは、お久しぶりです。改ざんの問題が、あちらこちらで起きていますね。やはりウイルス対策をしていても、完全には防げないウイルスがあるので、怖いものですね。
[ マリンワールド ]
2009/5/18(月) 午後 7:13
ホント怖いですねー。
Windows Updateはちゃんとしていても、Flash PlayerとAdobe Readerの更新はしとらん(今回の感染者さん)、ってな方はかなーりいるはず。
[ noooo_spam ]
2009/5/19(火) 午前 0:11