ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫過去の投稿日別表示

2010年06月04日

← 2010年6月3日 | 2010年6月5日 →

全1ページ

[1]

「ポイントタウン」「ふくびき.com」「ヤプログ」などがサイト改ざん

 GMOが運営するいくつかのサービスで表示される広告ページが改ざん被害を受けたようです。ネットの情報だと「ポイントタウン」「ふくびき.com」「ヤプログ」。同一広告を表示させてた複数のサービスに影響があるみたいなので範囲は広そうですな・・・。(^^;

 現在、この改ざんページは撤去されてるようなので、実際にどういうコードが挿入されてたのか分からんですが、Googleセーフブラウジングの警告情報では「mashckinvalery .com」というサイトにアクセスさせる形になっていたとのこと。。。

 それを元に突撃してみたところ、アクセスするタイミングなのか、こちらでは誘導する3パターンを確認できました。Adobe Reader、Java(JRE)、Internet Explorerがらみの脆弱性を突いてウイルスを強制発動させようとしてる感じです。
http://mashckinvalery .com/tds/in.cgi?default
 ↓
http://mashckinvalery .com/tds/in.cgi?27
 ↓
http://joprestons .net/jut7/index.php?s=31b08bf70119daf8d7ad0120b036389a
 ↓
http://joprestons .net/jut7/load.php?spl=mdac (Microsoft MDACの脆弱性用)
http://joprestons .net/jut7/1.jar (Javaの脆弱性を突くJARファイル)
http://joprestons .net/jut7/pdf.php (Adobe Readerの脆弱性を突くPDFファイル)

http://mashckinvalery .com/tds/in.cgi?default
 ↓
http://mashckinvalery .com/tds/in.cgi?19
 ↓
http://dbkws .in/x/index.php?s=86369c20cae2138baf4dc9cfcec7013f
 ↓
??? (アクセスできず)

http://mashckinvalery .com/tds/in.cgi?default
 ↓
http://sportxxx-ltd .com/hehehe/index.php?s=0317b985932f766fe765ea10854a53ef
 ↓
http://sportxxx-ltd .com/hehehe/pdf.php
http://sportxxx-ltd .com/hehehe/1.jar
 で、特に報告が多いポルノサイトに飛ばされる現象ですが、こちらの場合は2回目のアクセスでリダイレクトされるのを確認できました。もしかしたら、対策が行なわれているなどして、脆弱性を突けない環境だった場合にも飛ばされるのかもしれんです。
http://mashckinvalery .com/tds/in.cgi?default
 ↓
http://sportxxx-ltd. com/hehehe/404.php
 ↓
http://sportxxx-ltd. com/tds3/go.php?sid=1
 ↓
http://realhorny-tube. org/?id=FF5176BD6B0E1E90278668854CACC84F17 (ポルノサイト)
 で、このポルノサイトですが、実はダミーです。ページ内を進んでいくと、動画の再生に必要なコーデック「codec.exe」なるもののダウンロードを促されますが、コーデックでも何でもなくウイルスです。ここではえっちな動画はいっさい見れません。(^^;
http://realhorny-tube. org/video.php?id=&sid=#player
 ↓
http://realhorny-tube. org/download.php?id=12345
 まとめると、この攻撃によるウイルス感染方法は下のような形になります。 ;)
1.脆弱性を突いて強制的にウイルスに感染させるスタイル
2.エロを餌にユーザーの意思でもって手動でウイルスに感染してもらうスタイル


ホームページがハッキングされ不正なコードが埋め込まれた場合の復旧方法

開くトラックバック(1)

ワンクリウェア駆除支援ツール(無料) 有料アダルト動画エロサイト料金請求登録入会画面が消えないのはウイルスを実行し感染させたから orz

http://c.statcounter.com/7329573/0/dd048013/1/
ワンクリウェア駆除支援ツール(無料/フリーウェア)
 『有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe』
   [対応環境: Windows 2000/XP/Vista/7 、 動作テスト: Windows 7 32bitのみ]

 これは有料アダルト動画エロサイトを装ったページにて動画ファイルや再生ソフトという名目のウイルスを警告を無視し手動で実行してしまうことで、登録入会料金請求を促すポップアップ画像がデスクトップ画面に貼りついて消せなくなるウイルス感染状態の解消を支援する無料ツールです。

 あくまで”支援”として診断結果を提示する機能しかないので、感染者さん自身の手でウイルス(ワンクリウェア)の駆除・削除、改ざんされた不正なデータを修復する作業が必要になります。そのため、パソコン初心者さんは使いこなせません。

≪≪≪ 対応機能 ≫≫≫
 ワンクリウェアの感染手法にはいろいろと多種多様なパターンがあって感染パソコンごとに状態が違うので、この駆除支援ツールが役に立たない場合があります。ツール上のメッセージボックスには、解消する上で役立つファイルパスなどの情報が提示されるので、メモ帳などにコピペするようにしてください。
・ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (○チェック対象)
・ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce (×チェック対象外)
・ タスクスケジューラ (○チェック対象)
・ スタートアップフォルダ (×チェック対象外)

ポップアップ画像を表示する mshta.exe 強制終了 (右端)

 現在動いているプログラムの中に mshta.exe が確認できたら強制的に終了させます。ポップアップ画像が表示されなくなりますが、決してウイルス(ワンクリウェア)の駆除を行ったわけではなく感染状態は維持されてるので注意してください。ちなみに、mshta.exe そのものはWindowsの正規ファイルで悪用されてるにすぎないので削除してはいけません。
⇒ 数分後に画面が復活するならタスクスケジューラが悪用されてます!

レジストリ Runキー データの取得

 特定のプログラムをパソコン起動時に起動することができるレジストリ「Runキー」部分のデータを列挙します。また、最近は「RunOnceキー」部分を悪用するワンクリックウェアも確認されてますが、この駆除支援ツールではチェック対象に含まれてません。

 「怪しさ」ポイントで「10/20/30」と判定されるものが、不正なデータである可能性があります。「0」と判定されたものはファイルの更新日時(=感染させた日時)も参考に正規なデータか不正なデータか判断できるかもしれません。

タスクスケジューラの取得 [Windows Vista/7のみ]

 タスクスケジューラは、特定のプログラムをパソコンを立ち上げた時や一定の間隔(秒、分ごと)で自動的に起動させることができるため悪用される場合があります。ワンクリウェアの挙動は”○秒/○分ごとに無期限に繰り返す”となってるのが一般的です。

 「怪しさ」ポイントで「10」と判定されるものは不正なデータである可能性があります。「0」と判定された場合は、・・・自分で判断してください。

≪≪≪ 補足情報 ≫≫≫

インストール・アンインストール方法
 ZIPファイルを解凍してください。インストール作業はなく実行ファイルを単に起動するだけです。利用してるセキュリティソフト・ウイルス対策ソフトがもし反応して使用を阻止されるなら除外させてください。この駆除支援ツールは、ファイルの出力やレジストリの使用はないので、実行ファイルそのものを削除してしまえばアンインストールになります。

該当のファイル・フォルダが見つからない場合
 Windowsの設定でWindows の隠しファイルや隠しフォルダーを表示する方法をやってみてください。これでも見つからない場合は保護されたオペレーションシステム ファイルを表示しないを切り替えてください。Windowsのファイル検索も活用するといいです。

レジストリエディタの起動方法
 Windowsの[スタートメニュー]→[ファイル名を指定して実行](またはWindowsキー+Rキー)で『regedit』と入力して起動させます。レジストリにはWindowsの動作に関わる重要な情報が含まれてるので、仮に誤った処理を行うとパソコンの動作に問題を引き起こすので自己責任で対処してください。 (参照

タスクスケジューラの起動方法
 Windowsの[コントロールパネル]→[管理ツール]で『タスクスケジューラ』を選択します。(参照

https://s.yimg.jp/i/jp/blog/p3/images/visit/blog_star.gif  ダウンロード:
ワンクリウェア駆除支援ツールを自己責任の下で利用します。[サイズ:101KB]
ファイルスキャン:
www.virustotal.com/latest-report.html?resource=fa68ba90c5aa42cb7f5f352d971bbb23
anubis.iseclab.org/?action=result&task_id=1723c253bf74076e4d9a06175f5cbe54f&format=html
camas.comodo.com/cgi-bin/submit?file=2727e9dba624a160a2e75d62975e53dd5c378a40043275ad8abc10bf4f3f4966
www.threatexpert.com/report.aspx?md5=710db9033640cf4e31650c954af75b22

開くトラックバック(0)

全1ページ

[1]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2 3
4
5
6 7 8 9 10 11 12
13
14
15 16 17 18 19
20 21 22 23 24
25
26
27
28
29 30
検索 検索
友だち(5)
  • Cookies
  • ★ピサロ★
  • 物知りマン
  • who
  • Kerupani129
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
実質2000円で特産品がお手元に
11/30までキャンペーン実施中!
数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ