ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫ウイルス・セキュリティ

 Windowsパソコンをターゲットに有名ソフトの旧バージョンにある欠陥(脆弱性:ぜいじゃくせい)を悪用したウイルス攻撃が流行中! 古いバージョンを入れっぱなしだと強制的にウイルス感染地獄!
(1) 「Windows Update」(Microsoft Update)の”自動更新”を有効にする
(2) Adobe Readerを最新バージョンにする
  + [編集]メニュー→[環境設定]で[JavaScript]→[Acrobat JavaScriptを使用]のチェックを外す
(3) Adobe Flash Playerを最新バージョンにする
(4) Java(JRE)を最新バージョン版にする

 パソコンには、ウイルス対策ソフトを入れてください。「変なサイトには行ってない」「今まで感染したことがない」なんてな寝言は通用しません。どうしてもお金をかけたくないなら、ユーザーサポートがないですが無料ウイルス対策もどぞっ。

セキュリティソフトランキング ... 売れ筋人気製品
セキュリティソフト比較 ... 第三者評価機関、市場シェア
記事検索
検索

全37ページ

[10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21]

[ 前のページ | 次のページ ]

2010年2月 「Gumblar.x」の改ざん攻撃再開

イメージ 1

 
 去年の2009年10月に始まって、12月に攻撃者自ら撤退していた「Gumblar.x」の改ざん攻撃が、2010年2月4日に再開しました。12月の段階で改ざん被害を受けて不正なJavaScriptコードが埋め込まれていたサイトが再び陥落してるのを複数確認してます。

 で、上の画像は、再陥落サイトうちの1つ「デヴィ夫人オフィシャルサイト」。Googleセーフブラウジングの情報で、12月まで「Gumblar.x」にやられていたっぽいのが分かったので、念のためチェッカーを走らせてたんですが、今回再び改ざんされました。
<script src=http://[URLアドレス].php ></script><BODY 〜
 BODYタグの直前に不正なJavaScriptコードが挿入されます。[URLアドレス]の部分は改ざんサイトごとに異なります。特徴として、src属性のパラメータには、「”」(ダブルクォーテーション)のくくりがなく、「〜.php」の直後に必ず半角スペースがあります。

 ウイルスを発動させるために、以前と変わらず有名ソフトウェアの脆弱性を突く形になると思うので、セキュリティの穴をちゃんと塞ぐ対策をやっておけば、改ざん被害を受けてるページを見たとしても被害は免れます。

 ここ数ヶ月に騒ぎになってる「8080」と、再始動した「Gumblar.x」の違いについては↓らへんを。
「ガンブラー」「サイト改ざん」めぐる基本のQ&A (So-netセキュリティ通信)
改ざんページに挿入されるコードに見る「Gumblar」「Gumblar.x」「8080」


人力検索はてな 1

開くトラックバック(1)

FTPソフト「FFFTP」をやめてもガンブラーウイルス対策にはならん

 ガンブラー(Gumblar.8080)の改ざん攻撃は、まだまだ継続中です。挿入される不正なJavaScriptコードは、30日の追記記事に書いたタイプのものから動きはなく変化してません。
 改ざん被害に気づいて閉鎖するなりコッソリ直すなりして対処が行われるサイトがある一方で、新たな改ざんサイトも続々と出現してるような状況です。 :(

 で、ここ数日のガンブラーがらみでホットなニュースと言えばFTPソフト「FFFTP」の話題でしょう。「FFFTP」をアンインストールしようが、「FileZilla」「WinSCP」に乗り換えようが、”ガンブラー”によるウイルス感染そのものの回避には役に立ちません。

FFFTPに加えEmFTP、FileZilla、WinSCP等もすでに標的化 〜 (RBB Today)
PC内のFTPアカウント情報を盗み出すマルウェア、JPCERT/CCが注意喚起 (INTERNET Watch)

 ちゃんと対策ドライブバイ・ダウンロード)をやっておけば被害者になりません。被害者にならなければ加害者にもなりません。攻撃のターゲットはWindowsパソコンを利用してる全ユーザーです。(加害者 → 自分のホームページがウイルス散布サイトへと変貌してしまう)

 去年の2009年10〜12月の改ざん騒動「Gumblar.x」で降ってきていたウイルス(名前は「Daonol」とか「Kates」)は、特定のファイル転送ソフトは狙ってませんでした。Microsoftのページに細かい情報がのってますが、あくまでネットワークの転送情報をモニタリングするだけ。今、”ガンブラー”と騒ぎになってるものは、別にこれが進化したわけではなく、そもそもウイルスの挙動から何から別モノなんですな。


(おまけネタ)
 改ざんコードの挿入をミスってる例。不正なデータがまんまブラウザ上に表示されてしまっていて、こうなると不正な処理は動きません(外部のJavaScriptファイルがやられてたらダメだけど)。改ざん行為は、プログラムか何かで機械的にやってるので、HTMLタグを誤って壊してしまうと、こういうバレバレ〜な状態に。(^^;

 イメージ 1

https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
パソコンのウイルス対策

開くトラックバック(0)

Gumblar.8080の改ざんは”コメントなし”をさらに強化

イメージ 1

 
 前日にガンブラーウイルス(Gumblar.8080)の不正な改ざんコードが変更され、コメント文字列がなくなったと書きましたが、今日になっていくつかの改ざんサイトでコードの引き締めが行われました。(画像は、上が前日モノ、下が最新モノ)
<script> try{window.onload=function(){document.write('<div id= 〜
 改ざんサイトすべてに共通してた文字列2ヶ所が、サイトごとにランダムなものに切り替わってます。人間が改ざんコード全体を直接見る分には何だか変な怪しいコードと分かるとはいえ、コードの特徴的な部分がほとんどなくなってしまいました。

id=megaid id=[ランダム]
replace.(/DEBUG/g, replace.(/[ランダム]/g,

 いずれにしても、無料でできる対策をちゃんとやっとけば、この不正な改ざんコードが埋め込まれてるページを運悪く訪問してしまったとしてもウイルスの発動が回避され難を逃れます。自ら対策をやってない人は撃沈します。 ;)

サイト改ざん止まず(1) 修復サイト再汚染が多発、PW変更/感染チェックを (So-netセキュリティ通信)
「ガンブラー」「サイト改ざん」めぐる基本のQ&A 〜 何が起きている? 対策は?


(30日 追記...)
 再びコードの一部分を変更したタイプが現れたので画像を。いたちごっこ・・・。
 イメージ 2

開くトラックバック(0)

Gumblar.8080の改ざんは『/*Exception*/』から”コメントなし”へ

http://farm5.static.flickr.com/4017/4310861175_1db1b62135.jpg
 
 ガンブラーウイルス(Gumblar.8080)の改ざんコードが変更されました。手元のチェッカーのサイトもすべて綺麗に総入れ替え・・・。目印となる特徴的なコメント文字列はなくなってしまいました。
イタチごっこ続くWebサイト改ざん、埋め込みコードがまたまた変化 (So-netセキュリティ通信)
[WARNING] 8080 が攻撃手順を変更か? (UnderForge of Lack)

<script> try{window.onload=function(){document.write('<div id=megaid> 〜
Gumblar.8080 改ざんの(コメント)変遷
タイプ1 /*GNU GPL*/ → /*LGPL*/ → /*Exception*/ → ”コメントなし”
タイプ2 /*CODE1*/

 今までのJavaScriptコードと比べると、URLアドレス文字列「*****.ru:8080」の難読化処理をパワーアップさせて、手動解除させる作業をちょと増やしてます。

 「megaid」をキーワードにGoogle検索すると改ざん被害を受けたという報告が複数挙がってるのが分かりますな。

開くトラックバック(0)

『4gameranking .com』に修正ホヤホヤなIE脆弱性攻撃コード

http://farm3.static.flickr.com/2771/4308569073_6a55a68f33.jpg

 普通の書き込みを装って日本のブログのコメントや掲示板に投稿されるURLアドレスなどで導かれる不正なサイトが存在します。Google検索するといろいろと情報がでてきますが、目的はオンラインゲームのアカウント情報を盗むウイルスに感染させること。
hXXp://www.4gameranking●com/xin/
 このページが最近更新され、ウイルスの発動手段として、先週に定例外の緊急パッチ(MS10-002)で対処されたばかりの「Internet Explorer」の脆弱性を突くと思われる攻撃コードが設置されました。(Googleの中国撤退?騒動、サイバー攻撃うんぬんで報道されたもの)

 Windows Update(Microsoft Update)の自動更新を故意に無効にしていて、「後で更新しとこー」ってな感じでほったらかしにしてる人は注意〜。

■ VirusTotalのスキャン結果:
不正なJavaScriptコードを含むページ
脆弱性を突かれて発動するウイルス

開くトラックバック(0)

全37ページ

[10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • ★ピサロ★
  • who
  • Cookies
  • Kerupani129
  • 物知りマン
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!
ふるさと納税サイト『さとふる』
11/30まで5周年記念キャンペーン中!
Amazonギフト券1000円分当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ