|
別に有名なとこではないですが、だいぶ前から同一攻撃者にハッキングされたまんま完全放置状態の一般サイトを見てたら、12月3日深夜に新しいインラインフレームタグ<iframe>がページ内に挿入されました。 ここで指定されてる.infoドメインは一般サイトを訪問しただけで強制的に読み込まされますが、手動でアクセスしてみると、.inドメインのページへそのままリダイレクトして、↓ほんの1行分のコードが降ってきました。単純に1つのJavaアプレット用ファイル(JARファイル)を読み込むだけの処理です。 このJARファイルを手動でダウンロードしてきて、いったい何するファイルなのか知るためオンラインスキャンサイトVirusTotalに放り投げてみました。するってーと、検出名に「CVE-2011-3544」の文字が! www.virustotal.com/file-scan/report.html?id=f4d1cf5dd17fc94a2b62ef81e517a3f14b42f810066724429fd733d46e01bbd3-1322953310
これは2011年10月にリリースされたJavaの定例更新「Version 6 Update 29」にて修正されたばかりの脆弱性です。Javaをちゃんと最新版に更新しておかないとヤバイヤバイ・・・。Javaはパソコンを購入した段階で最初からインストール済みの場合も多いので注意!  ・ 修正されたばかりのJREの脆弱性を突く実証コード公開 (セキュリティ通信) ・ Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポート (NTTデータ先端技術株式会社) ・ 導入されてるJavaのバージョン確認ページ (オラクル) http://(会社サイト).jp/ http://(個人サイト).web.fc2.com/ ↓ ブラウザ内部で強制的に読み込まれる http://****.info/ ↓ 強制リダイレクト http://◆◆◆◆.in/?site=15 http://◆◆◆◆.in/?e77d4a303cfeb5a8f253e280c62fdafe (JavaのJARファイル) ↓ ウイルス実行ファイルの強制発動!?  私のおすすめ:バージョンチェックツールでウイルス対策♪ [追記...] ・ Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起 (JPCERT コーディネーションセンター) ・ Javaの既知の脆弱性(CVE-2011-3544)を悪用する攻撃を確認 (IBM Tokyo SOC) |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
