|
アメリカ大リーグにもかつて所属していて、今はオリックスに属しているプロ野球選手、田口壮さんの公式サイト(www.taguchiso. com)が改ざんされてるとのこと。Google検索には、お馴染のセーフブラウジングの警告文言がすでに表示されてるので、改ざん被害を受けてからもう数日間経過しちゃてるんでしょうな。 さっそくページを訪問してみると、BODYタグのすぐ直後に難読化された不正なJavaScriptコードが挿入されてます。コードの挿入位置、コードの雰囲気がなんかガンブラーと違うな、と思いながら難読化コードを解除してみましたが、最初の飛び先から分かるように、いわゆるガンブラー(Gumblar.8080)の改ざんコードではないです。 導かれる流れは下のような感じ。同じIPアドレスだと2回目以降のアクセスは弾かれます。 http://www.taguchiso. com/
↓ http://grepad. com/in.cgi?2 ↓ http://ginopost. com/grep/ ↓ http://ginopost. com/grep/pdf.php http://ginopost. com/grep/j1_893d.jar http://ginopost. com/grep/j2_079.jar http://ginopost. com/grep/load.php?spl=javas http://ginopost. com/grep/load.php?spl=mdac http://ginopost. com/grep/load.php?spl=Opera_telnet アクセスするブラウザごとに降ってくる処理は変動するんですが、Microsoft系、Adobe Reader、Java、Operaなんかの脆弱性を突く処理が用意されてる感じです。(要は主要なWindows用ブラウザをすべて網羅) 悪用されるソフトウェアを最新版にしていて脆弱性を塞いでいればまったく何も問題はありやせんが、古いバージョンのまま更新しないで放置していると最終的に発動することになるウイルス本体の実行ファイルはこちら。
|
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
