|
GMOが運営するいくつかのサービスで表示される広告ページが改ざん被害を受けたようです。ネットの情報だと「ポイントタウン」「ふくびき.com」「ヤプログ」。同一広告を表示させてた複数のサービスに影響があるみたいなので範囲は広そうですな・・・。(^^; 現在、この改ざんページは撤去されてるようなので、実際にどういうコードが挿入されてたのか分からんですが、Googleセーフブラウジングの警告情報では「mashckinvalery .com」というサイトにアクセスさせる形になっていたとのこと。。。 それを元に突撃してみたところ、アクセスするタイミングなのか、こちらでは誘導する3パターンを確認できました。Adobe Reader、Java(JRE)、Internet Explorerがらみの脆弱性を突いてウイルスを強制発動させようとしてる感じです。 http://mashckinvalery .com/tds/in.cgi?default ↓ http://mashckinvalery .com/tds/in.cgi?27 ↓ http://joprestons .net/jut7/index.php?s=31b08bf70119daf8d7ad0120b036389a ↓ http://joprestons .net/jut7/load.php?spl=mdac (Microsoft MDACの脆弱性用) http://joprestons .net/jut7/1.jar (Javaの脆弱性を突くJARファイル) http://joprestons .net/jut7/pdf.php (Adobe Readerの脆弱性を突くPDFファイル) http://mashckinvalery .com/tds/in.cgi?default ↓ http://mashckinvalery .com/tds/in.cgi?19 ↓ http://dbkws .in/x/index.php?s=86369c20cae2138baf4dc9cfcec7013f ↓ ??? (アクセスできず) http://mashckinvalery .com/tds/in.cgi?default ↓ http://sportxxx-ltd .com/hehehe/index.php?s=0317b985932f766fe765ea10854a53ef ↓ http://sportxxx-ltd .com/hehehe/pdf.php http://sportxxx-ltd .com/hehehe/1.jarで、特に報告が多いポルノサイトに飛ばされる現象ですが、こちらの場合は2回目のアクセスでリダイレクトされるのを確認できました。もしかしたら、対策が行なわれているなどして、脆弱性を突けない環境だった場合にも飛ばされるのかもしれんです。 http://mashckinvalery .com/tds/in.cgi?default ↓ http://sportxxx-ltd. com/hehehe/404.php ↓ http://sportxxx-ltd. com/tds3/go.php?sid=1 ↓ http://realhorny-tube. org/?id=FF5176BD6B0E1E90278668854CACC84F17 (ポルノサイト)で、このポルノサイトですが、実はダミーです。ページ内を進んでいくと、動画の再生に必要なコーデック「codec.exe」なるもののダウンロードを促されますが、コーデックでも何でもなくウイルスです。ここではえっちな動画はいっさい見れません。(^^; http://realhorny-tube. org/video.php?id=&sid=#player ↓ http://realhorny-tube. org/download.php?id=12345まとめると、この攻撃によるウイルス感染方法は下のような形になります。  1.脆弱性を突いて強制的にウイルスに感染させるスタイル 2.エロを餌にユーザーの意思でもって手動でウイルスに感染してもらうスタイル |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
