tag5479347351 countertag18 iframeハッキング Backdoor Kelihos感染ボットネットが日本も
 
{{{ 2016年5月 更新 }}}
 
HTMLソースコードでページ最下部に存在する </body></html> タグの直前に挿入される 不正なJavaScriptコード を確認してます。
 
イメージ 1
 
このJavaScriptコードは前後に実在しない特徴的なタグで囲われてます。
 
<tag5479347351></tag5479347351>
~ JavaScriptコードの処理 ~
<tag5479347352></tag5479347352>
 
<tag5479347351></tag5479347351><script>eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1}; (~中略~) |tag1|ram'.split('|'),0,{}))</script><tag5479347352></tag5479347352>
 
<countertag18></countertag18>
~ JavaScriptコードの処理 ~
<countertagfinish18></countertagfinish18>
 
<countertag18></countertag18><script>eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1}; (~中略~) |page1|php|135|130|202|88'.split('|'),0,{}))</script><countertagfinish18></countertagfinish18>
 
不正なコードを挿入する改ざん攻撃者による位置把握用の目印

ハッキングされてる正規サイトたちの実例画像

アダルト的な要素が微塵のカケラもない、企業や個人が管理する日本語表記な一般サイトまでもが侵害されてるますか。 <ヤバッ! ハッキング被害!
 
イメージ 6
 
イメージ 2
 
イメージ 3
 
ハッキングされててる原因は?
  • 何かしらWebアプリ(WordPress、Joomla!など)の脆弱性を突いて侵害してる?
  • サイト管理に使用してるWindowsパソコンが何かしらウイルスに感染し、FTPソフトからFTPアカウント情報を盗み取られた?
ちなみに、不正なJavaScriptコードは簡易的な難読化処理「eval(function(p,a,c,k,e,d){e=function(c) ~」が噛まされてます。
 
アンパックされた元のJavaScriptコードを出力するには?
eval関数 ⇒ document.write関数 に置き換えればOK
 
難読化を解除すると、Iframe(インラインフレーム)タグで外部サイトを読み込む処理が確認でき、その表示サイズも「0 x 0」なのでブラウザの表面上では表示されず気付かないことになりますか。
 
イメージ 4
外部の不正なURLアドレスを読み込む処理
http://×.×.×.×/tag1.php
http://×.×.×.×/page1.php

乗っ取られたWindows感染パソコン (ボットネット)

ここで登場するIPアドレスの地理的位置として、ロシア、ウクライナ、インド、メキシコ、オーストラリアなどなどたくさんの国々です。
 
ちなみに、この 219.109.207.221日本のインターネットプロバイダですなー。 
 
イメージ 5
 
> ttps://www.virustotal.com/ja/ip-address/219.109.207.221/information/ 
> ttps://www.virustotal.com/ja/ip-address/219.124.84.224/information/
> ttps://www.virustotal.com/ja/ip-address/220.215.190.132/information/
> ttps://www.virustotal.com/ja/ip-address/218.216.226.58/information/
> ttps://www.virustotal.com/ja/ip-address/42.127.159.100/information/
> ttps://www.virustotal.com/ja/ip-address/210.194.174.185/information/
> ttps://www.virustotal.com/ja/ip-address/211.135.56.156/information/
> ttps://www.virustotal.com/ja/ip-address/113.43.111.32/information/
> ttps://www.virustotal.com/ja/ip-address/211.124.60.155/information/
> ttps://www.virustotal.com/ja/ip-address/211.120.158.247/information/
> ttps://www.virustotal.com/ja/ip-address/126.28.165.76/information/
> ttps://www.virustotal.com/ja/ip-address/126.4.252.239/information/
> ttps://www.virustotal.com/ja/ip-address/219.124.22.175/information/
> ttps://www.virustotal.com/ja/ip-address/116.64.101.112/information/
> ttps://www.virustotal.com/ja/ip-address/42.144.16.16/information/
> ttps://www.virustotal.com/ja/ip-address/218.228.94.68/information/
> ttps://www.virustotal.com/ja/ip-address/126.48.37.45/information/
> ttps://www.virustotal.com/ja/ip-address/203.165.140.210/information/
> ttps://www.virustotal.com/ja/ip-address/114.155.107.44/information/
> ttps://www.virustotal.com/ja/ip-address/126.116.171.38/information/
> ttps://www.virustotal.com/ja/ip-address/123.198.83.141/information/
> ttps://www.virustotal.com/ja/ip-address/36.52.159.237/information/
> ttps://www.virustotal.com/ja/ip-address/42.127.223.62/information/
> ttps://www.virustotal.com/ja/ip-address/126.13.35.191/information/
> ttps://www.virustotal.com/ja/ip-address/219.124.104.95/information/
> ttps://www.virustotal.com/ja/ip-address/182.20.43.134/information/
> ttps://www.virustotal.com/ja/ip-address/182.20.41.248/information/
> ttps://www.virustotal.com/ja/ip-address/61.125.108.209/information/

 
これは日本国内のユーザーの使うWindowsパソコンがバックドアKELIHOS、Waledac)に殺られてる可能性があって、Windows向け実行ファイルを配信するボットとしてウイルス攻撃者に遠隔操作されてると思われます。
 

【1】ファイルサイズ 1000KB超えのファイル
Backdoor:Win32/Kelihos / BKDR_KELIHOS / Trojan.Rloader

 

【2】 ファイルサイズ 60-100KBほどのファイル
DDoS:Win32/Nitol.B / TROJ_NITOL
TrojanDownloader:Win32/Waledac.AL / TROJ_WALEDAC / W32.Waledac

広告リンクのクリック詐欺ページ Click-Fraud

Kelihosウイルス感染マシン向けに用意されてるっぽい、広告リンクを強制的に踏ませるクリック詐欺用の不正なページをホスティングしてるボットも確認してます。
 
イメージ 7
 
イメージ 8
 
/page_reach.php
/page_click.php
/page_affp.php
/page_alph.php
/page_umax.php
関連するブログ記事