日産自動車のページが改ざん被害を受けウイルス感染攻撃
 
日産自動車が提供してたクルマの「下取り参考価格シミュレーション」のページが悪意のある第三者に侵害されたというニュース。
日産:「下取り参考価格シミュレーション」サイト改ざんに関するお詫びとご報告
http://www.nissan.co.jp/TOP/ANNOUNCE/
オンラインURLスキャンサイト URLQuery に残ってる情報…
 
> www.urlquery.net/report.php?id=1408692576542 (8月22日)
> www.urlquery.net/report.php?id=1408343574599 (8月18日)
 
攻撃の流れは恐らくこんな感じ。
http://tradein.nissan.co.jp/
http://tradein.nissan.co.jp/_common/js/???.js
 ↓
http://www.dwz .org.in/jp.php
 ↓
http://www.dwz .org.in/jps.php
 ↓
http://www.*****.com/***.phtml
 ↓
http://www.*****.com/***.phtml?gonext= ~
 ↓
http://digudyfg.belucent .co.uk/?PHPSSESID= ~ ← RIG Exploit Kit
誘導先の一部が記事を書いてる時点でも稼働してます。
 
最終的にエクスプロイトキット(RIG Exploit Kit)が設置されてる不正なページを読みこまされ、Windowsパソコンにウイルスを強制的インストールされるドライブバイ・ダウンロード攻撃でした。
 
日産自動車 以外にも、たとえば 箱根町観光情報ポータルサイト とか複数の日本の正規サイトが過去に殺られてたみたい。
 
> www.urlquery.net/report.php?id=1404936167949 (7月9日)
 
あと、URLQuery には、この流れと同じ改ざん被害を受けてる海外サイト(韓国語、中国語、英語、ロシア語、ブラジルポルトガル語…)が確認できるので、特に日本だけを狙ったものではなさげな印象。

マルウェア

ドライブバイ・ダウンロード攻撃が仮に成立した時、強制的に発動するWindows用実行ファイル… あくまで29日時点のもの
 
 
手元でちょっと動かすと、マルウェアの起動用パラメータがレジストリに。
 

ウイルス感染経路をふさいでおけば感染回避

サイト閲覧でウイルスを強制的にインストールさせるドライブバイ・ダウンロード攻撃で悪用されるのは、4系統旧バージョンにある欠陥(脆弱性)です。
 
なので、ちゃんと最新版に更新しておく、不要なら削除しておけばウイルス感染経路が存在しない状態なので攻撃は成立しないから100%感染回避! 
 
定番のウイルス感染経路4系統
 
【1】 Java
【2】 Adobe Reader
【3】 Adobe Flash Player
【4】 Microsoft系 (OS、Internet ExplorerSilverlight、Office など)
 
→ RIG Exploit Kit に用意されてる攻撃処理