共有ボタンを表示するブログパーツが改ざん！ウイルス強制インストール感染攻撃 : 無題なログ

共有ボタンを表示するブログパーツが改ざん！ウイルス強制インストール感染攻撃

セキュリティ会社トレンドマイクロのブログより…

SNSなどの共有ボタンをページ脇に表示する無料ブログパーツが改ざんされ、エクスプロイトキット（FlashPack Exploit Kit）が設置されてる不正なページが読み込まれてしまう状態になってるそう。

● Website Add-on Targets Japanese Users, Leads To Exploit Kit （Trend Micro）
http://blog.trendmicro.com/trendlabs-security-intelligence/website-add-on-targets-japanese-users-leads-to-exploit-kit/

このブログパーツは、ブログの自由形式のところに指定のソースコードを貼り付けるだけで利用できるタイプになります。

どのくらいの数か分からないけれど、日本の複数の一般ブログに設置されてることが災いし、トレンドマイクロ調べで影響範囲の87％が日本国内ユーザーとなってしまってるとか。

ブログパーツを貼り付けてる一般ブログ
　↓ パーツを表示する処理を読み込む
http：//＊＊＊＊＊.＊＊＊/s.js
　↓ 強制的に転送される
http：//fsj3txp0nq7f2301a41ebjf.freetv-home .co.uk/index.php?h= ～
http：//vrugucd39c21wkm9owqlhn7.gardenfurniture-spain .com/index.php?h= ～
などなど

転送されるチャンスは、１IPアドレスにつき最初の１回という制限がかかってるようで、２回目のアクセスでは転送されることなく共有ボタンを表示する正常な処理が返ります。

ウイルス感染手口はドライブバイ・ダウンロード攻撃

…んな制限があるもんだから、少し手こずりやっと成功。

＜プロキシ指して試す

ドライブバイ・ダウンロード攻撃が成立してウイルス強制起動の瞬間

マルウェアの実行ファイルが一時フォルダに投下されたのを確認

ファイルはそれなりの頻度で差し替えられてるはずで、セキュリティソフトのウイルス定義データによるスキャン結果は当てにならない？

マルウェアの正体は、Windowsパソコンがターゲットの Carberp（ウイルスバスター TROJ_CARBERP.*）となってます。

《オンラインスキャン VirusTotal 》
www.virustotal.com/ja/file/b36755b291d782f551bf40681bb5bfa295764c9e9d6bf693f75e7908cbeb0be9/analysis/1408844743/

《マルウェア解析 Comodo 》
camas.comodo.com/cgi-bin/submit?file=b36755b291d782f551bf40681bb5bfa295764c9e9d6bf693f75e7908cbeb0be9

グラフィックボード NVIDIA の更新チェックプログラムっぽく偽装した実行ファイル nvdupdate.exe に、不正なWindowsサービスを登録して常駐します。