![[20]](https://s.yimg.jp/i/jp/blog/p3/images/paging_back2.gif){kind=small}
![[31]](https://s.yimg.jp/i/jp/blog/p3/images/paging_for2.gif){kind=small}
|
↑Googleの検索結果より。 Gumblar.8080の改ざん被害で『/*Exception*/』を挿入されてしまってる一般の正規サイトなんですが、ここの無料ホームページレンタルサービスは、HTMLタグの最後尾に検索エンジンスパムなリンクのリストを挿入する運営形態みたいで、結果としてGoogleが生成するサイト説明文で変なコラボが実現。
|
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
ウイルス・セキュリティ
-
詳細
Windowsパソコンをターゲットに有名ソフトの旧バージョンにある欠陥(脆弱性:ぜいじゃくせい)を悪用したウイルス攻撃が流行中! 古いバージョンを入れっぱなしだと強制的にウイルス感染地獄!
(1) 「Windows Update」(Microsoft Update)の”自動更新”を有効にする
(2) Adobe Readerを最新バージョンにする
+ [編集]メニュー→[環境設定]で[JavaScript]→[Acrobat JavaScriptを使用]のチェックを外す
(3) Adobe Flash Playerを最新バージョンにする
(4) Java(JRE)を最新バージョン版にする
(2) Adobe Readerを最新バージョンにする
+ [編集]メニュー→[環境設定]で[JavaScript]→[Acrobat JavaScriptを使用]のチェックを外す
(3) Adobe Flash Playerを最新バージョンにする
(4) Java(JRE)を最新バージョン版にする
パソコンには、ウイルス対策ソフトを入れてください。「変なサイトには行ってない」「今まで感染したことがない」なんてな寝言は通用しません。どうしてもお金をかけたくないなら、ユーザーサポートがないですが無料ウイルス対策もどぞっ。
|
攻撃者の気が変わったのかミスったのか、『/*handle exception*/』というコメント付きの不正なJavaScriptコードが埋め込まれてた一部サイトは、『/*Exception*/』(意味は「例外」)というコメント付きのものに落ち着きました。チェッカーを走らせてた『/*LGPL*/』の改ざんサイトすべてが、現在『/*Exception*/』に置き換わってます。 <script>/*Exception*/ document.write('<script src 〜
導かれる処理の流れは変わらず〜。下はその一例。 hXXp://wiktionary-org.gap.com.google-com-br.yourauthentic●ru:8080/ekolay.net/ekolay.net/ip138.com/huanqiu.com/google.com/ ↓ hXXp://wiktionary-org.gap.com.google-com-br.yourauthentic●ru:8080/index.php?ys ↓ hXXp://wiktionary-org.gap.com.google-com-br.yourauthentic●ru:8080/pics/win.jpg hXXp://wiktionary-org.gap.com.google-com-br.yourauthentic●ru:8080/pics/JavaGame.jar hXXp://wiktionary-org.gap.com.google-com-br.yourauthentic●ru:8080/pics/ChangeLog.pdf ↓ hXXp://truerealtime●ru:8080/main.php?id=5&hello302 (pdfupd.exe)仮に改ざん被害を受けてるサイトを踏んだとしても、無料でできる対策さえちゃんとやっておけば、ウイルスの発動は回避されます。対策してないと、何か(たとえばインチキ「Security Tool」)を調達してくるようなウイルスに自動的に感染します。 ・埋め込みコード変えドメインも一新、拡散続ける正規サイト改ざん (So-net セキュリティ通信) ・命名「Gumblar.8080系」、でもって改竄コードが変化してまた変化 (べつになんでもないこと) |
||||||
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
|
8080攻撃の改ざんの『/*GNU GPL*/』→『/*LGPL*/』に変化が。チェッカーを走らせてた2サイトで確認してます。 不正なJavaScriptのコードの末尾に『/*handle exception*/』のコメント文。飛び先のURLアドレスは今までと違って難読化されておらず、有名サイトのURLアドレス文字列を前後に引っ付けたロシアドメイン「*****.ru:8080」が堂々と表示されてます。
|
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
|
『/*LGPL*/』(『/*GNU GPL*/』)や『/*CODE1*/』の改ざんは、特段大きな動きはないんですが、”べつになんでもないこと”さんの記事「改竄いろいろ」にて提示されてる画像の中で、上の方の生のインラインフレームのコードは、手元のチェッカーのサイト2ヶ所に挿入されてるので、ちょっと追ってみました。 hXXp://4analytics●ws/in.cgi?8 ↓ リダイレクト hXXp://steggba●com/4/index.phpリダイレクトされると、難読化されたコードが出現します。アクセス制限がかかっていて、2度目はGoogleに飛ばされちゃう。で、その難読化を解除すると、ウイルス本体を発動させるために「Adobe Reader」「Adobe Flash Player」「Java」「Microsoft MDAC」「Microsoft Office Snapshot Viewer」あたりを悪用する処理が出現します。 AdobeやJavaの処理はソフトウェアのバージョンをきっちりチェックして、読み込ませる不正なデータを生成してます。
最終的に発動してしまうウイルス本体は「update.exe」(VirusTotal)で、それによりシステムフォルダに「sdra64.exe」(VirusTotal)が投下されました。検索してみると、海外の銀行関連の情報を盗む目的をもったウイルスみたいですな。(ZeuS/Zbot?) |
|||||
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
|
「Security Tool」(セキュリティ・ツール)なるソフトがいつの間にかパソコンにインストール(導入)されるトラブルをよく見かけます。これは”偽ウイルス対策ソフト”とか”偽セキュリティソフト”と呼ばれるスパイウェアです。 偽ウイルス対策ソフトは、ウイルススキャンを行うシーンを表示した後にデタラメなウイルス検出報告を行い、解消するには製品版と称するインチキソフトの購入を強要するシロモノです。(同時に、ポップアップやウィンドウをしつこく表示したり、ディスクトップをアイコンを消したり、パソコン再起動させたりして、普通にパソコンを使えなくする妨害行為アリ) ニセ警告にだまされて、”ウイルス感染”という大事に焦って入力してしまったクレジットカードの情報ががそのまんま犯罪者へと搾取されてしまう寸法です。 「Security Tool」というキーワードでYahoo!&Google検索すると、ブログやQ&Aサイトの感染報告が大量にヒットします。それらをチェックしてみると、どーにも「Security Tool」に感染した原因を理解してない人が多いっ!  ■ 「Security Tool」の感染原因 「Security Tool」を自らの意思で導入した人は皆無なはずです。下のいずれか1つでも当てはまる人のみ殺られます。 1. パソコンに導入されてる「Adobe Reader」が古いバージョンままの人 2. パソコンに導入されてる「Adobe Flash Player」が古いバージョンままの人 3. パソコンに導入されてる「Java」(JRE)が古いバージョンままの人 4. Windows Updateを行っていない人(自動更新を有効にしてない) これらのソフトの更新にお金はいっさいかかりません。導入した覚えがなくても、パソコン購入時点であらかじめインストールされてる場合があります。このことに関してウイルス対策ソフト・セキュリティソフトは何も対処してくれないので、パソコンを使ってるアナタ自身がちゃんと対処しないダメッー! これらのソフトが古いバージョンのまま放置してるダメダメ〜な人のパソコンは、脆弱性(ぜいじゃくせい)を悪用され、ユーザーの意思なぞ関係なく強制的にウイルスが発動します。その発動の後に、「Security Tool」がアナタのパソコンに送り込まれたんです。 ■ 「Security Tool」の感染場所 実はごく普通の一般サイト(個人・企業)が改ざんされ、ページに不正なデータが埋め込まれるトラブルが頻発してます。大きな騒ぎになったのが「ガンブラー」(Gumblar)でしょう。不正なデータが埋め込まれてしまったページを単に閲覧しただけでウイルスが発動してしまうんです。 未だに「えっちなサイトや怪しいサイトに行く人だけがウイルスに感染する」と思い込んでる人もいますが、今お気に入りに登録してあるサイトが明日も安全なサイトであるという保障はいっさいありません。  |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
