|
6月11日あたりからになりますが、Gumblar.8080タイプの改ざん攻撃で、攻撃者によってページに挿入される今までJavaScriptコード <script>(〜 長ーい意味不明な文字列 〜)</script>とは異なるスタイルのものが出現してます。この飛び先は、攻撃者に乗っ取られてしまった正規サイトみたいです。(ドメインのレジスタがGoDaddyだらけなのは偶然かへ? <script type="text/javascript" src="http://■■■■■/●●●●●.js"></script>当初の飛び先こんなの。改ざんサイトごとにバラバラなJSファイル名。 sogpaoiy.the-mlmpowercall. com/PC.js
sogpaoiy.the-mlmpowercall. com/Index.js sogpaoiy.the-mlmpowercall. com/Mac_OS.js sogpaoiy.the-mlmpowercall. com/Infotainment.js sogpaoiy.the-mlmpowercall. com/Facebook.js 今日14日あたりから投入された飛び先の例。 temp.hbsouthmomsclub. com:8080/Kbps.js
temp.hbsouthmomsclub. com:8080/Website.js aospfpgy.dogplaystation. com:8080/Unix.js
aospfpgy.dogplaystation. com:8080/OASIS.js aospfpgy.dogplaystation. com:8080/Access_Point.js aospfpgy.dogplaystation. com:8080/Gigahertz.js aospfpgy.dogplaystation. com:8080/Page_View.js kollinsoy.skyefenton. com:8080/Kibibyte.js
kollinsoy.skyefenton. com:8080/Scrolling.js kollinsoy.skyefenton. com:8080/Hardware.js kollinsoy.skyefenton. com:8080/Parallel_Port.js kollinsoy.skyefenton. com:8080/HDMI.js このスタイルのJavaScriptコードだと、Yahoo!やGoogleの検索エンジンを使って改ざんサイトを見つけ出すのがムリになっちゃいます。
(6月14日 追記...) ・ Malware on Hijacked Subdomains. Part 2. (Unmask Parasites. Blog.) (6月25日 追記...) ・ 新タイプの不正な改ざんコードにご注意を。。。 (Gumblar.8080) |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
