高島
- 最終編集日:
一般的に「ガンブラー」と言われているものは、「ドライブバイダウンロード」と言われる攻撃者が用意した Webサイトにユーザーを自動的に誘導し、悪質なマルウェアをダウンロードさせる攻撃手法で、元々転送され
今回の攻撃は、転送先の URL を頻繁に攻撃者の方で変更することや、それに伴いユーザー側に実行される攻撃コードやダウンロードされるマ
Security Response Blog(英語)にて掲載された本件に関する記事(英語)をご紹介します。
/*LGPL*/ で始まる新しい難読化コードが出現
2009年12月より、Web サイトに不正な JavaScript が貼り付けられ、Webサイトが改ざんされるという被害が相次いでいます。このスクリプトには 2 種類あり、それぞれ以下のような記述で始まります。
ところが今回、これとは異なる新しいバージョンが見つかりました。以前、"/*GNU GPL*/" で始まるスクリプトで改ざんされていたサイトの 1 つが、最近になって "/*LGPL*/" で始まるスクリプトに書き換えられていることが確認されました。
難読化されたこのスクリプトの開始部分は、次のような記述となっています。
難読化を解除したあとに出てくるURLは下記のようなものです。
hxxp://free-fr.rapidshare.com.hotlinkimage-com.the
良く知られているドメイン名をURLに使うことによって、攻撃者は保護メカニズムを迂回しようとしているこ
ペイロード自体は昨年の攻撃からそれほど変化していません。ユーザーが改ざんされたサイトにアクセスすると
これら 2 つのファイルは、以下の脆弱性を利用してコンピュータへのマルウェア感染を試みます。
- Adobe Acrobat および Reader の任意のコード実行およびセキュリティに関する複数の脆弱性(BID 27641)
- Adobe Reader および Acrobat の 'newplayer()' JavaScript メソッドによるリモートコード実行の脆弱性(BID 37331)
- Sun Java Runtime Environment および Java Development Kit のセキュリティに関する複数の脆弱性(BID 32608)
なお、BID 37331 のパッチは 1 月 12 日の提供予定となっているため、それまでは Adobe Reader の JavaScript を無効にしておいた方がよいかもしれません。
最終的なペイロードには、Trojan.Bredolab や Trojan.Zbot などのマルウェアをはじめ、PrivacyCenter などのセキュリティリスク、およびその他多数のミスリーディングアプリケーション(Trojan.FakeAV などとして検出)が含まれます。ウイルス定義ファイルは頻繁に更新されているので、常に最新の状態に保つよ
また、シマンテックではこの新しい不正な JavaScript をはじめ、同様のコードを含むスクリプトを汎用的に検出するウイルス定義「Trojan.Malscript.B」をリリースしました。
この記事の執筆には、林 薫 氏の解析を参考にさせていただきました。
-
Nao
記事: 史上最速のノートン 360 バージョン6.0登場
-
高島
記事:
ノートン インターネット セキュリティ 2012 の新機能
-
N_Tokita
記事:
第9回 ブロガーズミーティングへのご参加ありがと うございました -
高島
記事:
ノートン 2010 発売にあたって
-
john3825
記事:
進化し続ける日本の出
会い系スパム -
高島
記事:
ノートン インサイト:セキュリ
ティを犠牲にすること なくパフォーマンスを 改善するソリューショ ン -
高島
記事:
ノートン 360 バージョン 3.0日本語公開ベー
タ、ダウンロード開始 ! -
Aya_Kazama
記事:
ノートン プロテクション ブログ 日本版のライブにあたって -
高島
記事:
ノートン プロテクション ブログ 日本版へようこそ
ここにコメントを追加するには、ご登録いただく必要があります。 ご登録済みの場合は、ログインしてください。 ご登録がまだの場合は、ご登録後にログインしてください。