共有ボタンを表示するブログパーツが改ざん! ウイルス強制インストール感染攻撃
 
セキュリティ会社トレンドマイクロのブログより…
 
SNSなどの共有ボタンをページ脇に表示する無料ブログパーツが改ざんされ、エクスプロイトキットFlashPack Exploit Kit)が設置されてる不正なページが読み込まれてしまう状態になってるそう。
Website Add-on Targets Japanese Users, Leads To Exploit Kit (Trend Micro)
http://blog.trendmicro.com/trendlabs-security-intelligence/website-add-on-targets-japanese-users-leads-to-exploit-kit/
このブログパーツは、ブログの自由形式のところに指定のソースコードを貼り付けるだけで利用できるタイプになります。
 
どのくらいの数か分からないけれど、日本の複数の一般ブログに設置されてることが災いし、トレンドマイクロ調べで影響範囲の87%が日本国内ユーザーとなってしまってるとか。
 
ブログパーツを貼り付けてる一般ブログ
 ↓  パーツを表示する処理を読み込む
http://*****.***/s.js
 ↓  強制的に転送される
http://fsj3txp0nq7f2301a41ebjf.freetv-home .co.uk/index.php?h= ~
http://vrugucd39c21wkm9owqlhn7.gardenfurniture-spain .com/index.php?h= ~
などなど
転送されるチャンスは、1IPアドレスにつき最初の1回という制限がかかってるようで、2回目のアクセスでは転送されることなく共有ボタンを表示する正常な処理が返ります。

ウイルス感染手口はドライブバイ・ダウンロード攻撃

…んな制限があるもんだから、少し手こずりやっと成功。 <プロキシ指して試す
 
イメージ 1
ドライブバイ・ダウンロード攻撃が成立してウイルス強制起動の瞬間
 
イメージ 2
マルウェアの実行ファイルが一時フォルダに投下されたのを確認
 
ファイルはそれなりの頻度で差し替えられてるはずで、セキュリティソフトのウイルス定義データによるスキャン結果は当てにならない?
 
マルウェアの正体は、Windowsパソコンがターゲットの Carberp(ウイルスバスター TROJ_CARBERP.*)となってます。
《オンラインスキャン VirusTotal 》
www.virustotal.com/ja/file/b36755b291d782f551bf40681bb5bfa295764c9e9d6bf693f75e7908cbeb0be9/analysis/1408844743/

《マルウェア解析 Comodo 》
camas.comodo.com/cgi-bin/submit?file=b36755b291d782f551bf40681bb5bfa295764c9e9d6bf693f75e7908cbeb0be9
グラフィックボード NVIDIA の更新チェックプログラムっぽく偽装した実行ファイル nvdupdate.exe に、不正なWindowsサービスを登録して常駐します。
《オンラインスキャン VirusTotal》
www.virustotal.com/ja/file/7d2b1420e4288212df3b00df76d960f2fa4d8237ee394c4299f8ad295545eac6/analysis/1408834475/

ウイルス感染経路をふさいでおけば感染回避

サイト閲覧でウイルスを強制的にインストールさせるドライブバイ・ダウンロード攻撃で悪用されるのは、4系統の旧バージョンにある欠陥(脆弱性)です。
 
なので、ちゃんと最新版に更新しておく、不要なら削除しておくことで、ウイルス感染経路が存在しない状態となり攻撃が成立せず100%ウイルス感染回避となります!

定番のウイルス感染経路4系統
【1】 Java
【2】 Adobe Reader
【3】
Adobe Flash Player
【4】 Microsoft系 (Windows OS、Internet Explorer、Silverlight、Office など)