Javaを最新版に更新するセキュリティ対策なしでウイルス強制感染被害


Yahoo!ジオシティーズを利用した個人ホームページでこんなサイトを発見し、HTML ソースの1行目に不正な iframe タグが挿入されていた。


さっそく突撃してみると、最終的にインドのドメインへ強制リダイレクトされていく。



http //www.geocities.jp/*****/ (ハッキングされてる一般サイト)
 ↓
http //*****.rr[.]nu/ iframe.php?id=300
 ↓
http //www.*****[.].in/ search/7634652025727.htm
 ↓
http //www.*****[.]in/ lovestory/aboom


その最終地点の HTML ソースが下のようになっていて、あまりにもシンプルすぎ全4行。「たったコレだけ!?」な感じですが、ブラウザが読み込むと、Windowsパソコンが陥落する処理のようです。



<body>
<applet code='a.Test.class' archive='98026652252' width='12' height='40'>
</applet>
</body>


Java アプレット用ファイル (98026652252.jar) を読み込むようになっていて、Java の脆弱性を悪用しウイルス感染攻撃を行う不正なファイルだろうと考えて、試しにオンラインスキャン VirusTotal に放り投げますってーと、たいへん綺麗な結果です。


> www.virustotal.com/file/b81718fbb2243dc87f6061f6c0e284ee8c67d45d3d8397bdb11653d80bf5d1ca/analysis/

中身のファイルを逆コンパイルして調べると、注意情報がでてるJavaの旧バージョンの脆弱性 (CVE-2012-0507) を悪用すると思しき処理が確認できた。


最新版「Java 6 Update 31」でない環境だと、メインのウイルス(Windows用実行ファイル)が強制発動しちゃうことに・・・。


・ 2012年2月リリースの Java (JRE) じゃないとウイルス強制感染