TrendLabs | Malware Blog

「BKDR_REFPRON in New Mass Compromise」より
Aug 28, 2009　Det Caraig

　トレンドマイクロのウイルス解析チームは、約5万5000の正規オンライン・ショッピング・サイトが大規模なWebサイト改ざんの被害を受けたと報告。第一報の段階では、アジアでは中国やインド、欧米ではカナダやイギリスのWebサイトで被害が確認されています。

　この攻撃の経過をみると、無防備なWebサーフィンがいかに危険であるかということを認識せずにはいられません。特に、今回のケースでは、正規のWebサイトに組み込まれた不正スクリプトは、ユーザを他のWebサイトに誘導し、最終的には、以下のバックドア型不正プログラムとして検出される不正なプログラムおよびコンポーネントをダウンロードします。

• axa0727.exe-1（「BKDR_REFPRON.FH」として検出）
• d.binaxa072776988（「TROJ_REFPRON.FI」として検出）
• ms.binaxa0727588773（「TROJ_REFPRON.FJ」として検出）
• so.binaxa0727737721（「BKDR_REFPRON.FH」として検出）

　ダウンロードされたバックドア型不正プログラムは、他のコンポーネントを作成します。また、他のIPアドレスにアクセスし、上記とはまた別の不正プログラムをダウンロードし、ユーザをさらに危険にさらす恐れがあります。

　トレンドマイクロの「Web Threat Protection」機能を備えた製品は、不正スクリプトのインジェクションに関連するドメインおよびURLから、不正バイナリ･コードが組み込まれたURLに至るまで、この攻撃での感染フローに関連するすべての「Webからの脅威」をブロックしています。

　2009年8月26日現在、これら不正スクリプトに感染したURLは、約9万9000にのぼる可能性があります。

　翻訳： カストロ　麻衣子（Technical Communications Specialist, TrendLabs）