現在、国内の正規Webサイトが不正プログラムによって改ざんされる事象が相次いでいます。
改ざんされたWebサイトを閲覧すると、FTPアカウント情報(サーバアドレス、アカウント、パスワードなど)を盗む不正プログラムに感染します。さらに攻撃者は感染PCから盗んだFTPアカウント情報を使用して、別のWebサイトを改ざんするなど、複数のWebサイトが連鎖的に被害にあう可能性があります。
トレンドラボでは、これらの一連の改ざんの流れにおいて、アプリケーションの脆弱性を利用して感染する不正プログラムなど、複数の不正プログラムがインストールされることを確認しています。これらは通称「ガンブラー」と呼ばれている脅威です。
Webサイトが改ざんされてから、閲覧ユーザが感染に至るまでは、以下のような流れであると考えられます。
ユーザが改ざんされたWebサイトを閲覧すると、表面上では正規サイトが表示されますが、裏では埋め込まれたJavaScriptにより、不正なWebサイトへのリダイレクトが行われており、リダイレクト先からは不正プログラムがダウンロード・実行されます。ダウンロード・実行される不正プログラムはAdobe ReaderおよびAdobe Flash Playerの脆弱性などを利用して、ユーザのPCへさらに不正プログラムを作成します。 トレンドマイクロでは、この不正プログラムを「TROJ_DELF」ファミリなどとして検出します。
改ざんされたWebサイトを閲覧し、不正プログラムに感染したPCでは、不正プログラムがネットワーク接続を監視し、FTPサーバへ接続する際のサーバアドレス、アカウント、パスワードなどを盗み出し外部のサーバへ送信します。 トレンドマイクロでは、この不正プログラムを「TSPY_KATES」ファミリなどとして検出します。
攻撃者は受信したFTPアカウント情報を利用し、FTPサーバに保存されているWebサイトのファイルを不正に書き換えることで改ざんを行い、ガンブラーを拡散させます。改ざんされた正規Webサイトには、不正なWebサイトへリダイレクトするJavaScriptが埋め込まれます。埋め込まれたJavaScript内には、特徴として以下のような文字列が挿入されることを確認しています。
<script>/*GNU GPL*/ try{window.onload = function(){var …
又は
<script>/*CODE1*/ try{window.onload = function(){var …
※一部の文字列を全角文字で記載しています。
以下の画像は、実際に改ざんされたWebサイトのソースコードの一例です。
ガンブラーはこれらの一連の流れを繰り返し、感染を拡大していると考えられます。
ガンブラーの被害を受けないために、Webサイト運営者と一般利用者それぞれが実施すべき対策を紹介します。
自身が管理しているWebサイトが改ざんされた場合、被害者になると同時に、訪問者にウイルス感染させてしまう“加害者”になってしまいます。 以下を再度確認してください。
いつも普通に利用していたWebが突然感染源になる可能性があり、「怪しいサイトは見ない」といった心がけレベルの対策では通用しません。以下を再度確認してください。
This entry was posted on 金曜日, 1月 8th, 2010 at 6:29 pm and is filed under 新種ウイルス . Responses are closed, but you can trackback from your own site.
Comments are closed.
メールアドレスを入力: