|
Yahoo! JAPANが運営するYahoo!占い内の一部ページが改ざんされ、不正なコードが埋め込まれていたとのこと。去年の10月27日からということで何とも長い期間ですな。 ・【重要なお知らせ】「鏡リュウジの星に願いを」をご利用のお客様へのお願い さっそく検索エンジンGogoleのキャッシュを見てみましたが、これは今騒ぎになってる”ガンブラーウイルス”・・・『/*GNU GPL*/』『/*LGPL*/』(8080攻撃)ではなく、去年の10〜12月にかけて猛威を振るった「Gumblar.x」と呼ばれるタイプです。 (検索エンジンのキャッシュは現在でもウイルスが発動する状態なので注意) 悪用するソフトウェアは、「Adobe Reader」と「Adobe Flash Player」です。どちらも最新版であれば脆弱性が修正されてるため問題ありませんが、2つの内どちらか1つでも更新しないで古いバージョンのものを入れっぱなしのWindowsパソコンは、ウイルスが発動している恐れがあります。 現在降ってくるファイル群です。これらは今騒ぎになってる”ガンブラーウイルス”とは別物です。攻撃者が用意してからだいぶ時間が経過してるので、VirusTotalでスキャンさせるとウイルス対策ソフトの検出率は結構高めです。 ・脆弱性を突くPDFファイル ・脆弱性を突くSWFファイル ・最終的に発動するEXEファイル (いわゆるDaonol/Katesウイルス) 前に、パソコンを起動するとメーカーのロゴが表示された後に画面が真っ黒状態で、マウスカーソルが中央にポツンとあるだけ、の症状になるシロモノです。 ちなみに、「fancyrat●ru」はロシアの正規サイトで、鑑賞用ラットの愛好会サイト(?)みたいです。ここのサイトも管理者のFTPアカウント情報が漏れ、攻撃ファイルの物置場として悪用されてます。 |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
あぁyahooまで。。。
yahooがんばれーw
[ 物知りマン ]
2010/1/10(日) 午前 10:11
Gamblar & Gamblar.x=GENOですよ・・・
[ あらけん ]
2010/1/10(日) 午前 11:38
いつも拝見させていただいています。
改ざんされた「Yahoo!占い」の一部ページを VirusTotal でスキャンしたりしているのでしょうか。もしスキャンしているようなら、スキャン結果の URL を教えていただけないでしょうか。
特定の URL を SRC とする script タグが埋め込まれているだけなので、どのソフトも検出しないと思うのですが、結果が少し気になります。Gumblar.x の場合、SCRIPT タグを埋め込む際に規則性があるため、そこで検出するウイルス対策ソフトもあるのかなーと思う次第です。
[ かいと ]
2010/1/12(火) 午前 0:08
占いページ自体はこれ。いちおうavast!だけ。www.virustotal.com/jp/analisis/e24265591a49b9289f73de86cbcdaacd046b1c6e5aa337e12c53a1190ad5aa2c-1263303209
その先の「fancyrat●ru」にある脆弱性を突くためのJavaScriptコードのページ。実際に対処するならここからですかねぇ。
www.virustotal.com/jp/analisis/4cd081512f33f5a2e541295902f2f0152c53f4cefb6de15a6da5b7b37c0be799-1263303350
[ noooo_spam ]
2010/1/12(火) 午後 10:46
noooo_spam様
VirusTotal の結果、ありがとうございます。
改ざんサイトの HTML に反応するものもあるんですね。
参考になりました!!
[ かいと ]
2010/1/13(水) 午前 5:01