★ 5月31日 関連する攻撃の簡単なまとめ
⇒ 日本狙いのサイバー攻撃! 改ざんサイト閲覧で被害、正規ファイルがウイルスに
⇒ 日本狙いのサイバー攻撃! 改ざんサイト閲覧で被害、正規ファイルがウイルスに
無料ブログJUGEMが改ざん被害を受けてるようで、JUGEMのトップやユーザーの各ブログから不正なページを強制的に読み込ませられる状態になってます。
● これはウイルスなのでしょうか? 2014年5月26日- Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11129673071
不正なコードが挿入されるのは、JUGEM内のページから読み込まれる「imaging.jugem .jp」傘下のJavaScriptファイルです。ここは韓国のサーバーを利用してるみたい。
hxxp://imaging.jugem .jp/js/jugemlib/viewuser.js
hxxp://imaging.jugem .jp/template/js/cookie.js
hxxp://imaging.jugem .jp/userblogheader/script.js
hxxp://imaging.jugem .jp/ad/jg_ads_init_display.js
不正なコードで使われてる特徴的な関数名「MM_swapphotoes」「MM_swapphotoes1」「MM_swapphotoes2」「MM_swapphotoes3」といったもの。
JavaScriptファイルの最後尾に不正なコードが挿入されてる
このコードにより、ブラウザアドオン Adobe Flash Player の旧バージョンに存在する脆弱性(欠陥)を悪用したドライブバイ・ダウンロード攻撃が発動します。
JUGEMユーザーのブログにアクセスしてみたところ
http://1.*.*.*/ad/ads.jpg
→ http://1.*.*.*/ad/270x320.swf (Flash Exploit CVE-2014-0515)
→ http://1.*.*.*/ad/jp.gif
→ http://1.*.*.*/inf/news1.gif (TrojanDownloader:Win32/Tandfuy)
270x320.swf
ttps://www.virustotal.com/ja/file/dc1a24b348968032738d0ed6e2228511a9c0fc1c633189e167b57c50ace9e42e/analysis/1400960804/
ttps://www.virustotal.com/ja/file/dc1a24b348968032738d0ed6e2228511a9c0fc1c633189e167b57c50ace9e42e/analysis/1400960804/
jp.gif
ttps://www.virustotal.com/ja/file/a35f0eb84adec621fb3f7981bd2c1546ce5ea75ce7d8fa917e633a4ea144456b/analysis/1400904058/
ttps://www.virustotal.com/ja/file/a35f0eb84adec621fb3f7981bd2c1546ce5ea75ce7d8fa917e633a4ea144456b/analysis/1400904058/
news1.gif
ttps://www.virustotal.com/ja/file/d1dc83f12b5fd0d6fb00c7d5d6791d538ee46f6b7aca187eb4ed709af88b9ecf/analysis/1400941061/
ttps://www.virustotal.com/ja/file/d1dc83f12b5fd0d6fb00c7d5d6791d538ee46f6b7aca187eb4ed709af88b9ecf/analysis/1400941061/
Adobe Flash Player 脆弱性 CVE-2014-0515
先月4月下旬に定例外のセキュリティアップデートで修正されてる脆弱性です。
● Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515):IPA 独立行政法人 情報処理推進機構
http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html
● Adobe Flash Player用のセキュリティアップデート公開 APSB14-13 Adobeセキュリティ情報
http://helpx.adobe.com/jp/security/products/flash-player/apsb14-13.html
なので、Adobe Flash Player がちゃんと最新版に更新済みであれば、このウイルス感染攻撃は不成立に終わります。
> http://www.adobe.com/jp/software/flash/about/
> http://www.adobe.com/jp/software/flash/about/
[28日追記...]
Tandfuyウイルス
仮にも Adobe Flash Player が更新されてなかった場合に、最終的に感染してしまうであろうTandfuyウイルスのテキトー挙動です。
◆ システムフォルダに不正なDLLファイルをドロップし、Windowsのサービスに登録して常駐します。
手元のWindows 7(32ビット)の場合
C:\Windows\System32\midimapbits.dll
C:\Windows\System32\midimapbits.dll
◆ いくつかのセキュリティソフトを削除しようとします?(日本語版2種、韓国系3種)
ウイルスバスター クラウド 、 ESET Smart Security
ALYac 、 AhnLab V3 、 Naver Vaccine
ALYac 、 AhnLab V3 、 Naver Vaccine
◆ 日本や韓国の特定サイトに定期的にナゾのアクセスをします。アクセスするのは、実際にはサーバーに存在しないJPEG画像ファイル「ja523.jpg」です。
ttp://www.threatexpert.com/report.aspx?md5=49cea8c8a3e6777b1527c0e86b1394fd
ワケ分からん挙動だけど、シマンテックの2013年11月のブログ記事に登場する Downloader.Tandfuy の説明に同じ話と思われるものが…
● 何種類もの脅威を悪用して韓国を狙うサイバー犯罪者 (シマンテック)
http://www.symantec.com/connect/blogs-313
http://www.symantec.com/connect/blogs-313
Infostealer.Gampass は、djdjdava.jpg という名前のファイルをダウンロードするために、これら 16 個の Web サイトにアクセスしていました。djdjdava.jpg は、画像ファイルに偽装していますが実際には実行可能ファイルであり、Downloader.Tandfuy または Infostealer.Gampass の更新版であると見られています。さらに、アクセスしていたサイトの大半はおとりサイトであり、ファイルがホストされていなかったことも判明しています。