今年5月の大型連休をはさみ,JSRedir-Rと呼ばれるウイルス(GENOウイルス,Gumblarなどとも呼ばれる)が世界的に流行した。このウイルスによる攻撃の被害は,Webサイト管理者のパソコンに目立った。2008年秋ころ,国内では原因不明のWeb改ざん事件が頻発したが,実はこれがJSRedir-Rに関連しているのではないかと推測する。全貌が明らかにされていないのは,“感染した端末”の解析サンプルの数が少ないからだ。 その理由は幾つか考えられる。一つはウイルス本体が自身を消去してしまうことだ。もう一つ,企業のサーバー管理者が感染したケースが多かったことも理由の一つに挙げられるだろう。彼らの口から「私のパソコンが感染していました」とは言いづらく,被害が表面化しなかった例もある。 攻撃の特徴は二つ。Webページ改ざんによりウイルス感染を広げたことと,Adobe Reader(PDFファイル)
Gumblarウイルスとは,改ざんされたWebページを見ただけで感染するウイルスの一種である。感染したパソコンは,ファイル転送に用いるFTP(file transfer protocol)のIDとパスワードなどが盗まれる恐れがある。日本では,Webサイトを改ざんされた通販ショップの名称をとってGENOウイルスと呼ばれることも多い。 現在確認されているGumblarウイルスの動きを見ると,多少の違いはあるものの,基本的な動作は共通している。まず攻撃者は何らかの手段で盗んだFTPサーバーのアカウントを用いて,Webサイトに不正なJavaScriptを埋め込む。こうして改ざんされたWebページを閲覧すると,不正なJavaScriptによって攻撃用のサーバーにリダイレクトされる。 攻撃用サーバーは,閲覧者のパソコンに不正なPDFファイルやFlashコンテンツを送り込み,米アドビシステムズのAdob
今回は趣向を変えて,複数の不正プログラムにより引き起こされる最新の脅威を仮想的に再現してみたい。トレンドマイクロでは現在最も多く発生している脅威のモデルを「Webからの脅威」と定義している。その最大の特徴は,インターネット経由のダウンロードなどにより複数の不正プログラムが侵入し被害を拡大し続けるというものだ。 この攻撃の導入口として増加している攻撃方法として,正規Webサイトの改ざんがある。正規Webサイトを何らかの手段でハッキングし,そのコンテンツを変更する攻撃は古くからあったが,Webからの脅威のモデルにのっとった大規模な正規Webサイトの改ざん例としては,2007年6月に発生した「イタリアンジョブ」と呼ばれるケースが最初のものである。イタリアを中心に100以上の正規Webサイトが改ざんされた事例だ。 この攻撃では,改ざんされた正規Webサイトには他の不正サイトへリダイレクトするHTM
有害なスクリプトがいくつかのサイトに注入されています。 単純な1行のscriptタグであること(URIの末尾はphp)、 誘導先は(有害な物が設置されてはいるものの) いわゆる有害ドメインではないことから発覚しにくくなっています。 スクリプトの書き方からzlkon・gumblar・martuzの系統と思われます。 gumblar・martuz 今回 gumblarやmartuzはドメインで容易に蹴られてしまうという欠点がありましたが、 今回はそれがありません(C&Cの存在も確認できません)。 やられちゃったサイト群1のスクリプトは以下のようになっています。 IE用 非IE(Fx、Safari、Opera等)用 デコードするとそれぞれ以下のようになっています。 IE用 非IE用 「s=」でセッション管理をしています(検体を拾えませんでした)。 「id=2」でpdf(Acrobat)が、「id
このウェブサイトは販売用です! atword.jp は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、atword.jpが全てとなります。あなたがお探しの内容が見つかることを願っています!
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く