成田空港のホームページが改ざん被害でWindowsユーザーにウイルス配信
 
空の玄関口 成田空港 の公式ホームページが改ざん被害を受け、Windowsパソコンをターゲットにコンピュータウイルスをバラ撒いてしまうトラブルが発生したとのこと。 <現在は修正済みたい
成田空港Webサイトが改ざん被害 閲覧者にウイルス感染の恐れ (ITmedia)
http://www.itmedia.co.jp/news/articles/1503/05/news122.html
攻撃者は表面上見えない隠しIFRAMEタグを埋め込んで、不正なページを裏で強制的に読み込ませるようにしてあったそう。
 
piyokango Mk-IIさんはTwitterを使っています: "成田空港ウェブサイト改ざんの件 「acds\.pw」がIframeで埋め込まれていた模様。"
https://twitter.com/piyokango/status/573397603561291777
 
今でも通用すると思い込んでるユーザーさんがいるやもしれん『怪しいサイトに行かない』といった現実の脅威とズレてるウイルス対策はどーしましょ。

ウイルス感染攻撃の流れ

不正なページは、現在でも生きてたのでアクセスしてみると、ここで再びIFRAMEタグで別の不正なページを強制的に読み込むようになってました。
 
www.virustotal.com/ja/ip-address/194.58.98.24/information/
 
イメージ 1
パラオ.pwドメイン、サーバー位置はロシア
なぜかサイト名が「ニコッとタウン」を名乗らせてる???
 
そして、エクスプロイトキットによって生成される難読化されたJavaScriptコードが強制的に読み込まれ、ドライブバイ・ダウンロード攻撃の発動です。
 
イメージ 2
 
【1】 Adobe Flash Player を最新版に更新することなく旧バージョンのまま放置してる
【2】 Java
【3】 Adobe Reader 〃
【4】 Windows Update が実施されてない
 
の4条件にどれか当てはまるWindowsパソコンは、強制的に不正な実行ファイルが送り込まれて問答無用で起動し感染してしまう恐れがあります。
 
ちなみに、Mac OS、スマホ、携帯電話らへんは影響範囲外なので大丈夫です。
 
イメージ 4
攻撃成功直後にIEブラウザがクラッシュ! ユーザーが気付くのはソレだけ
 
あくまでこの記事を書く直前に攻撃を食らいに行った時に感染したマルウェア検体はコチラ↓でした。
 
イメージ 3
閲覧するだけで強制感染したナゾの実行ファイル…
 
MD5 55435751a366b904db81e621b1619f5c
ttps://www.virustotal.com/ja/file/a552d7be1a7fb62b7ce47cd4ab83605a23e105fedf3154a4a2d384c43876d0fd/analysis/1425524355/
ttp://anubis.iseclab.org/?action=result&task_id=1d4fd84f7abc876a42182c13258e8f639&format=html
 
正体は「Win32/Zbot」ウイルスかいな?
 

 
<追記...>
 
ウイルスの正体は「KINS」だそうです。ネットバンキングウイルス Zbot の派生になります。
 
■ 空港Webサイト改ざん、昨年ネット銀行を狙った特長を持つ新種ウイルスを確認| ウイルス・セキュリティニュース
http://canon-its.jp/eset/malware_info/news/150311/
 
■ 「KINS」は次なるオンライン銀行詐欺ツール「ZBOT」か | トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/7732