<ウイルス>osCommerce iframe willysy com 正規サイト改ざん


 osCommerceを利用した一般のショッピング系サイトに挿入されるIFRAMEインジェクション攻撃のお話。先日の記事を書いた時は、偽ウイルススキャンのページへ強制転送されましたが、今日アクセスしてみたら強制的にウイルス感染させようとするドライブバイ・ダウンロード攻撃がっ!
・ 一部のWebサイトに不正なiframeタグが埋め込まれる (IBM Tokyo SOC)


 こんな風にブラウザ内部で誘導されていきました。「willysy[.]com」 「aktyn[.]com」 も正規サイトのようで、攻撃者にハッキングされ踏み台の状態になってる形。



(正規サイト)
 ↓
http // willysy[.]com/ images/ banners/
 ↓
http // aktyn[.]com/ jquery.js
 ↓
http:// liveinerinet[.]com/ api?in=864
 ↓
http // liveinerinet[.]com/ cgi?in=864
 ↓
http // ***[.]ru/ 9VBMa76FFnB4VAYu0X5j755pMiSyVrcV [エクスプロイトキット]
 ↓
ウイルス!


最終的に発動することになるウイルス(実行ファイル)のスキャン結果はコチラ。


それなりの頻度で差し替えてるのかイマイチですな。こちらのセキュリティソフトがやらないウイルス対策をちゃんとやっとけば、このウイルスはパソコンにもたらされないので100%感染被害にあわなくて済みます。



www.virustotal.com/file-scan/report.html?id=4648bd46abf82a44217e8caf405cce1084e8c5f66a991dfd6bd76ee5401f6aa3-1311864572