日本を狙うVenikウイルス感染攻撃 7サイト向けのhostsファイル改ざんも
日本国内の正規の一般サイトが悪意のある第三者にハッキングされ、ページに不正なインラインフレーム<ifarme>タグが挿入される改ざん被害を見かける~。 

手元で侵害を確認できた正規の一般サイトは2ヶ所

エクスプロイトキット CK Exploit Kit が仕掛けられたページを裏で読み込む
侵害された一般サイトを閲覧すると、中国製のエクスプロイトキットが設置されてる不正なページ(米国サーバー)をブラウザ内部でひっそり読み込まされます。
ここでドライブバイ・ダウンロード攻撃によりWindowsパソコンへウイルスを強制的に送り込まれて感染してしまう流れ! 

http://*****.com/ ... 改ざんサイト1 法律関連情報
http://*****.org/ ... 改ざんサイト2 団体↓http://*****.3919.com/wiki.html ... リダイレクター↓http://*.*.*.*/index.html ... エクスプロイトキット
↓
http://*****.co.kr/pop/*****.exe ... Windows用実行ファイル
ただ、攻撃をモロに喰らい地獄へ逝くのは、脆弱性を突く処理が用意されてる
- Internet Explorerブラウザ
→ Windows Update を実施する
または - 無料ブラウザアドオン Adobe Flash Player
→ Flash Player を最新版に更新する
の更新作業をすっぽかしてるWindowsパソコンに限定されるので、お金のかからない無料ウイルス対策として最新版になってれば被害なくダイジョーブ♪ 

ちなみに、2014年にマイクロソフトのサポートが終了した Windows XP は、攻撃処理として用意されてる脆弱性(CVE-2014-6332)の更新パッチが適用されてないはずで”詰み”の状態で危険ヤバイ。 



ウイルス感染の挙動やファイルの詳細
日本国内のサイト経由でウイルスがバラ撒かれてるので
日本人狙ってるんかいなー? (´_`)
というのは想定してたけど、ウイルスの挙動をチェックして、それは確信に。 

■ hostsファイルの改ざん
Windowsのシステムにあるhostsファイルを書き換える挙動があり、ここで三菱東京UFJ銀行、三井住友銀行、みずほ銀行、りそな銀行、ゆうちょ銀行の5行、そしてYahoo! JAPANとGoogle日本のURLアドレスを確認。

JPドメインなURLが! 日本の一般ユーザーを狙った攻撃と確認
これにより、これら7サイトヘアクセスした時は不正なサーバーに接続してしまうけど、オフラインな感染作業なので具体的にどういう症状が現れるのかは未確認。
■ 感染してた実行ファイル本体
Cドライブの直下にランダムな名前で隠しフォルダが作成され、ウイルス本体である実行ファイル(拡張子 *.exe)がドロップされてる。 


MD5 2671b3f755c2496a9033101fb0c33761
www.virustotal.com/ja/file/3ad2e5535943252d81e07ff77cb93894f3d6cd9ba4a736302945337b472d51c1/analysis/1444041978/
www.virustotal.com/ja/file/3ad2e5535943252d81e07ff77cb93894f3d6cd9ba4a736302945337b472d51c1/analysis/1444041978/
この実行ファイルには有効なデジタル署名が付いててビックリ。 


韓国語のナゾ署名 「자이언트바바 전자담배 상계점」
Google翻訳だと「ジャイアントババ 電子たばこ ソウサイテン」という名義のようで、検索してみると韓国に実在する販売店???
プロレスラーの馬場さんは関係ないっぽく電子たばこの製品ブランドみたい
素直に考えれば、盗まれた証明書が悪用されてる可能性というところ。
■ レジストリに起動用パラメータ
ウイルスの実行ファイル起動用として、レジストリに不正なパラメータを確認。

InterMgr | C:\[ランダムフォルダ名]\[ランダムファイル名].exe /Klaunchp
「/Klaunchp」なる特徴的なフレーズなので検索してみたら、このウイルスの正体が Venik なるバックドア型ウイルスと判明です。 

■ Backdoor:Win32/Venik.I Backdoor:Win32/Venik.J - Microsoft
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Backdoor:Win32/Venik.I
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Backdoor:Win32/Venik.I