昨年12月から被害が続出している国内のWebサイト改ざんだが、28日未明から、再び改ざんサイトに埋め込むコードの書き換えが始まっている。
22日未明に「/*LGPL*/」から「/*Exception*/」に変わった際には、それまで検出できていたウイルス対策ソフトが一斉に検出不能に陥ってしまったが、今回も見事に検出を回避してしまった。攻撃の手は緩むことなく、まだまだイタチごっこが続くようだ。
■埋め込みコードは無印に
今回の変更では、「/*LGPL*/」や「/*Exception*/」といった記述がなくなり、scriptタグの後から「try{window.onload=…」という感じで、いきなりスクリプトが記述されている。これまでのマークをキーワードに改ざんチェックをしていると、あっさり見過ごしてしまう。
誘導先のドメインは相変わらずロシア(.ru)だが、ドメイン名には新たなものを導入。単純な文字置換で「.ru:8080」という文字列が出てこないように、難読化の手法も変更されている。おまけに、攻撃サイトを構成していたサーバーの構成も、5基のサーバー2系統での運用に変更と、あらゆる手を尽くして検出を逃れようとしているようだ。
誘導先での攻撃自体には大きな変化はないが、改ざんページから攻撃用のJavaScriptまでは、28日朝現在、検出できるウイルス対策ソフトがなく、Adobe Readerの攻撃に使われる細工されたPDFファイルも検出できるソフトはまばら。攻撃の最終段階で実行される、「Bredolab」や「PKOOBF」などの名が付いたEXEファイルに関しては比較的成績がよく、28日朝の時点では、VirusTotalに登録された41本中16本のソフトが検出できる状態だった。
なお、最終的にインストールされるウイルス本体は、「siszyd32.exe」というファイル名でスタートアップに登録されていたが、現在は「wwwpos32.exe」に変わっている(この他に別のファイルがレジストリにも登録される)。
■ソフォスの調査では、Web経由ウイルスの4割が8080系の改ざんページ
セキュリティベンダー英ソフォスの25日付のブログによると、先月22日から今月21日までの1か月間で検出された、Webサイトに仕掛けられたウイルスの中で最も多かったのが、「Troj/JSRedir-AK」だったという。実に全体の4割を超えるダントツの1位だ。
いわゆるガンブラー(Gumblar/8080系)の攻撃では、最終的にEXEファイルを自動実行させるために、複数の攻撃コードを組み合わせた多段攻撃を仕掛ける。このため、どの段階で検出するかによって検出されるウイルスが変わってくる。<br
ソフォスが「Troj/JSRedir-AK」で検出するのは、改ざんされたページに埋め込まれた「/*LGPL*/」までの不正なスクリプト。この段階で検出すると、以後の攻撃コードやパソコンにインストールされるウイルス本体にはたどり着かないので、ほかは検出されない。すなわちこれは、改ざんページがいかに多いのかを示しているわけだ。
ちなみに翌26日付のブログでは、「Troj/JSRedir-AK」に代わりTroj/JSRedir-AR」の台頭を告げている。「Troj/JSRedir-AR」は先週書き換えが始まった「/*Exception*/」タイプのスクリプトのことだ。
(2010/01/28 ネットセキュリティニュース)
・Troj-JSRedir-AK 40% of a month’s malware[英文](SophosLabs blog)
http://www.sophos.com/blogs/sophoslabs/?p=8338
・Troj/JSRedir-AK morphs into Troj/JSRedir-AR[英文](SophosLabs blog)
http://www.sophos.com/blogs/sophoslabs/?p=8411