正規の一般サイトが改ざんされウイルスサイトに! 警察庁が注意喚起
2013年5月24日付けで警察庁セキュリティポータルサイト@police(www.npa.go.jp/cyberpolice/)にて…
ウェブサイト改ざん事案の多発に係る注意喚起について
平成 24 年中と比較して2倍以上のペースでウェブサイト改ざん事案発生を認知
(2) 窃取した FTP アカウントによるアクセスであると疑われるファイル改ざん事案
4月以降には、既存のトップページに外部サイトへの誘導を行う iframe注2 タグを挿入する改ざん事案を多数認知しています。
この形態の場合には、一見しただけでは表示内容には変化がなく、改ざんの事実に気付きにくい状況です。
また、iframe により誘導された先には、マルウェアが蔵置されている可能性があり、閲覧者のコンピュータに感染する可能性も考えられます。
不正な<iframe>タグで誘導されてしまう先には、下らへんのエクスプロイトキットが設置されてます。
のこのこ訪問してきたWindowsユーザーにウイルスを強制インストール(ドライブバイ・ダウンロード攻撃)させる感染経路はこんな感じ。。。
- Blackhole → Java、Adobe Reader、Flash Player
- RedKit → Java
- Sweet Orange → Java
- Neutrino → Java
いずれも最新版で解消されてる旧バージョンの脆弱性を悪用!
たとえば、下のウイルス撒いてる一般サイトたちだと
・ IFRAMEサイト改ざん 5.45.179.41 transport replys-terribly-reading_works
記事を書いてた19日時点では Blackhole が設置された不正なウイルス配信ページヘ転送してたけど、今日26日では Sweet Orange になってるみたい。
改ざんされてる一般サイトを運悪く踏んでしまっても、セキュリティソフトがやってくれない無料ウイルス対策が済んでれば被害は起こらず安全です。 <偽セキュリティソフト対策!
・ TSPY_FAREIT PWS:Win32/Fareitウイルスとは? パスワード奪取FTPソフトNo.1は?