ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫全体表示

記事検索
検索

全112ページ

[20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31]

[ 前のページ | 次のページ ]

8080系のサイト改ざん攻撃の動き (2010年9月中旬)

■ 8080系
 ページの最後尾付近に下のような感じの不正なコードが挿入されます。
<script type="text/javascript" src="http://●●●.●●●/***.js"></script>
<!--(32ケタの英数字)-->
 9月8日〜9日ぐらい、複数の改ざん被害サイトからこの不正なコードが一挙に消えうせる動きがありました。なぜか攻撃者自らコードを除去したようです。それ以前から、飛び先のドメインがだいぶ死んでしまっていて、なかなか攻撃コードが落ちてくるところが見つからない状態でした。

 8080系改ざんサイトを踏んでウイルス(Bredolab)に感染したパソコンを使って配信されてる迷惑メールにも動きがあったとのこと。
盗まれたアカウント情報の行方 (cNotes)
盗まれたアカウント情報の行方 2

イメージ 1

 ところが、昨日あたりから一部の改ざん被害サイトで攻撃再開っぽい動きを確認してます。現在は、ロシアドメインのアドレスに誘導する不正なコードが挿入されてます。手元でチェックしていたサイトだと具体的なアドレスはこんな感じですが、検索してみると他の飛び先もあるようで。
addonrock. ru/***.js
alienradar. ru/***.js
 ソフトウェアの旧バージョンにある脆弱性を突く攻撃が成立した場合に強制発動するウイルス(Bredolab)のVirusTotalの結果。夕方に回収してきたもの。検知してるとこがいくつかあるので、攻撃者が用意して数日経ってる?

www.virustotal.com/file-scan/report.html?id=8ccac43b376be334e5b4ee29055dee1b4dee0f6e8cbf2fb6d2460771a8846793-1284810039

 こんなウイルスにご厄介になりたくなかったら、コチラで紹介されてる対策(無料)をしておくこと。 ;)

開くトラックバック(0)

正規サイトの改ざん関連ニュース (2009年9月始め)

 Gumblar.x改ざんと8080改ざんのニュースをテキトーに。 :)

 So-netセキュリティ通信さん。
止まらぬサイト改ざん(2):新たな改ざん攻撃例〜北九州市サイトの改ざん
止まらぬサイト改ざん(3):怪しい薬局キャンペーン、日本語と円に対応 (→ 薬局サイトの画像
止まらぬサイト改ざん(4):偽セキュリティソフトも日本語対応に (→ SecurityToolの画像
止まらぬサイト改ざん(5):迷惑メール配信元は感染パソコン

 ロシアのカスペルスキーさん。
 大量にばら撒かれてる迷惑メールで妖艶(?)な外国人の姐さんを使って誘うのは、踏み台として乗っ取られた日本の正規サイト。踏み台用ファイルには、インチキ薬局サイトに誘導するものと、不正なコード(Gumblar.x)が書かれていて。。。
Gumblagra and a piano (Kaspersky Blog)

開くトラックバック(0)

カナダのインチキ薬局サイトが日本語表記に (8080改ざんサイト経由)

 
 8080タイプの改ざん攻撃で、ページに不正なJavaScriptコードが挿入される以外にも、攻撃者によってサーバー上にHTMLファイル画像ファイルがアップロードされる場合があります。

 このアップロードされたファイルは、攻撃者が用意した不正なサイトへと誘導するコードが書かれていて、世界中にばら撒かれる迷惑メールの本文中に踏み台用アドレスとして使われます。攻撃者が乗っ取った正規サイトなので、アクセスがブロックされるのを回避できる効果があるんですな。
(ちなみに、迷惑メールはBredolabウイルスで乗っ取った一般のパソコンを使って配信されとるん)

 で、攻撃者が用意した不正なサイト「Canadian Pharmacy」(カナダ薬局)の偽ホームページがいつの間にやら多言語化され、日本語版も含まれてます。機械翻訳なのでヘンテコな日本語がいっぱい。このサイトの実体は、ショッピングページで入力するクレジットカード情報を盗むのが目的。(はたして日本人で買う人いるんかねぇ?)
spam ; 終わらないサイトの改竄 - LARTH の日記

サイトのタイトル
人気バーゲン:1つ錠剤1.17 USDからのジェネリックバイアグラ、1つ錠剤1.44 USDからのジェネリックシアリス

イメージ 1

開くトラックバック(0)

ガンブラー(Gumblar)サイト改ざん攻撃の動き (2010年8月下旬)

 主な原因が、ホームページを管理してる人のパソコンがウイルスに感染してアカウント情報(パスワード)が盗まれたことによる、いわゆる「ガンブラー」(Gumblar)のサイト改ざん攻撃の最近の動きです。 :)

8080

   イメージ 1

 ページに挿入される不正なコードで強制的に導かれるURLアドレスは、昨日8月25日から単に「.com」のものが投入されてます。挿入される位置は基本的にページの最後尾あたりです。(手元で数が多いのが「nuttypiano. com」というドメイン名)
<script type="text/javascript" src="http://●●●.com/▲▲▲.js"></script>
<!--(32ケタの英数字の羅列)-->
 これを含め、8080タイプの改ざん被害サイトに挿入されてる不正なコードは全部で3パターンといった感じでしょうかね?
<script type="text/javascript" src="http://■■■.●●●.◆◆◆:8080/▲▲▲.js"></script>
<!--(32ケタの英数字の羅列)-->

<script>(かなり長い意味不明な文字列 = 難読化されたコード) </script>
<!--(32ケタの英数字の羅列)-->
⇒ 仮に脆弱性攻撃が成立しウイルス(Bredolab)が強制発動すると、このウイルスを経由して攻撃者が用意した別のウイルスが次々と送り込まれパソコンが乗っ取られることになります。
 たとえば、FTPソフトの設定を引っこ抜いてホームページのアカウント情報が盗まれる、インチキな偽セキュリティソフトが強制導入される、迷惑メールの配信マシンと化す、など。 :(
VirusTotalの結果
www.virustotal.com/file-scan/report.html?id=52b8d0bee9b7d3c81b38fb5dfb9779eadb0dd6c8084db769c9cbe9850b49dd06-1282826527
 ※ 正直言って、かなーり頻繁にウイルスの差し替えを行なっとるようで当てにならん...

Gumblar.x

   イメージ 2

 ページに挿入される不正なコードで強制的に導かれるURLアドレスは、すべてパスワードが盗まれ乗っ取られてる正規サイトです。挿入される位置は基本的にBODYタグの直前です。
</head>
<script src=http://(改ざん被害を受けてる正規サイト)/▲▲▲.php ></script><body 〜
⇒ 日本国内のIPアドレスだと、脆弱性攻撃コードが降ってこないようになってる(以前の記事)そうなので、ウイルス(Daonol/Kates)の強制発動は回避されます。ただ、このコードが挿入されてしまってる日本のサイトは複数ある上に、日本国内外のユーザーは当然ながら影響があります。
VirusTotalの結果
www.virustotal.com/file-scan/report.html?id=6dd12c0614db884895f461e481eaf8fc3832bfa2b267d3f4c7c0f4a60e44629c-1282826746

テキトーなまとめ
・影響がある環境: Windowsパソコン
・影響があるブラウザ: 主要なもの Internet Explorer、Firefox、Chrome、Opera
 (ブラウザの種類に合わせて攻撃コードが生成されるようになってるため)
・事前にできる対策: ソフトウェアの脆弱性を解消しておけばウイルスの強制発動は回避されます
 (詳しくはコチラ!)

開くトラックバック(0)

偽セキュリティソフト「Security Tool」の画像 【日本語表記】

 トレンドマイクロの報告で、インチキな偽セキュリティソフト・偽ウイルス対策ソフトとしてかなーり有名な「Security Tool」が複数の言語表記に対応、そこに日本語も含まれてる、ってのが先週ニュースになってました。
日本語など25言語で表示する偽セキュリティソフトが見つかる (INTERNET Watch)

 で、その日本語化された「Security Tool」をゲットしたので感染させてみました。細かい部分で変な日本語表記が登場します。

  http://farm5.static.flickr.com/4119/4884085265_654193c4ed.jpg

対応言語
 「Security Tool」の表記は、Windowsの言語設定を元に自動選択されます。今までは、日本語に対応してなかったので、日本語のWindowsは英語表記になってたんですが、今対応してる25言語ぜーんぶを書き出しときます。

English(英語)、Bulgarian(ブルガリア語)、Croatian(クロアチア語)、Czech(チェコ語)、
Danish(デンマーク語)、Dutch(オランダ語)、Estonian(エストニア語)、Finnish(フィンランド語)、
French(フランス語)、German(ドイツ語)、Greek(ギリシャ語)、Hungarian(ハンガリー語)、
Italian(イタリア語)、Japanese(日本語)、Latvian(ラトビア語)、Lithuanian(リトアニア語)、
Norwegian(ノルウェー語)、Polish(ポーランド語)、Portuguese(ポルトガル語)、Romanian(ルーマニア語)、
Serbian(セルビア語)、Slovak(スロバキア語)、Slovenian(スロベニア語)Spanish(スペイン語)、
Turkish(トルコ語)

 欧米圏の言語をきっちり網羅してる中、地理的に異質すぎる日本語が。。。 日本人も感染しまくっていて甘い汁(クレジットカードの情報)を吸えると思われてる証拠でしょうなぁ。 :(

感染原因'
 大部分の感染者に当てはまりますが、いつの間にやら勝手に「Security Tool」が強制感染していた場合の原因はこちら〜

 前々からですが、「Security Tool」感染者さんのブログ記事をチェックすると、駆除方法や苦労話はあるも、肝心の感染原因を理解してないので、感染を回避する対策についてはまったくといっていいほど触れられてないのが気がかり・・・(−−

■ スクリーンショット画像

http://farm5.static.flickr.com/4119/4884085261_cc51b93bbb.jpg
メインウィンドウ。偽のウイルス検出一覧で、英語版でいうところの「File Name」がなぜか「氏名」に!?

http://farm5.static.flickr.com/4123/4884085267_36f3e8b8ff.jpg
レジストするかどうかの確認ウィンドウ。「Activated」(アクティベート)をまんま直訳した「賦活化」(ふかつか)。肝心なところで普段は使わない言葉が。

https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
偽セキュリティソフト駆除更新アンテナ

開くトラックバック(0)

全112ページ

[20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • who
  • Kerupani129
  • 物知りマン
  • ★ピサロ★
  • Cookies
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
実質2000円で特産品がお手元に
11/30までキャンペーン実施中!
数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ