最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆2009年のサイバー犯罪:増加目立つ不正アクセス、児童ポルノ(警察庁)(2010/03/05) | メイン | ◆東京都、ドロップシッピング事業者2社に業務停止命令~虚偽説明や誇大広告(2010/03/09) »

2010/03/08

◆「偽セキュリティソフト」にご用心~押し売り行為に「.htaccess」を悪用(2010/03/08)

 セキュリティベンダーのラックは3日、Apacheの設定ファイル「.htaccess」を不正にアップロードする攻撃を確認したと発表した。この.htaccessファイルが置かれたサイトに、Google、Yahoo、excite、infoseekなどの検索サイトを経由してアクセスすると、悪質なプログラムが置かれた攻撃サイトにリダイレクトされる。404、403などのエラー発生時にも、同様に攻撃サイトへリダイレクトされてしまう。エフセキュアも1日、この攻撃について情報を公開している。

 両社の情報によると、.htaccessファイルのアップロードには、盗み取られたFTPアカウント情報が使われている。ラックによると、この攻撃を同社が最初に認識したのは3月1日だが、少なくとも今年の1月中旬にはこの攻撃が発生していたとみられる。

■改ざんサイト閲覧で「偽セキュリティソフト」の押し売り被害に

 編集部で7日、攻撃の被害にあい改ざんされた(.htaccessファイルを置かれた)サイトに検索サイト経由でアクセスしてみたところ、まず、.ru(ロシア)ドメインのサイトにリダイレクトされた。その後、JavaScriptを使うなどしてさらに5回のリダイレクトが行われた後、.in(インド)ドメイン、オランダのIPのサイトで英語表記の偽スキャン画面が表示され、偽セキュリティソフトの押し売り行為がスタート。押し売りサイトは、パソコンがXPの場合はXPの「マイコンピュータ」風の、VistaならVistaの「コンピュータ」風の画面デザインとなっているが、Windows 7だとXP用の画面が表示される。Vista用の画面は、イギリスのセキュリティベンダーSophosのブログで見ることができる(下欄に示したSophosブログのページに掲載された2番目の画像)。

 偽スキャンの後には、ウイルスが見つかったとして、偽ソフトをダウンロード/インストールさせようとする画面が表示される。この画面にはキャンセルボタンを含めいくつかのボタンがあるが、どれを押してもウイルス本体の.exeファイルがダウンロードされるように仕組まれているので、ダウンロードを回避するには画面を「×」で閉じるしかない。また、XP環境で試したところ、脆弱性攻撃は仕掛けてこなかった。現段階では、.exeファイルを自分自身で実行しないかぎり被害にあうことはないと思われる。

 改ざんされたサイトのHTMLをVirustotalにかけたところ、1/42という結果だったが、リダイレクトに使われるJavaScriptの検出度は5/42。ウイルス本体は、FakeVimes(Microsoft名)などとして41製品中23製品で検出できた。FakeVimesは昨年から出回っており、Ultra Antivirus、Virus Sweeper、Extra Antivirusなど複数の名前を使っている。編集部で確認した際は、Security Antivirusと名乗っていた。

■「Gumblar.x」や「8080」との関連は?

 今回見つかった攻撃では、現在も継続中のサイト改ざん攻撃 Gumblar.xや8080と同じく、FTPのアカウント情報が使われている。しかし、これらの攻撃との関連は不明。Gumblar.x/8080とは別の攻撃者が攻撃を実行している可能性もあるし、Gumblar.x/8080が攻撃活動を並行して行っている可能性、Gumblar.x/8080がFTPアカウントを転売した可能性もある。

 編集部では、Gumblar.xや8080攻撃で改ざんされている国内のサイトをいくつかチェックしてみたが、FakeVimesにリダイレクトされるサイトは見つからなかった。また、.htaccessが置かれた海外のサイト7つを確認したところ、Gumblar.xとみられる埋め込みがあったサイトが1つあり、このサイトでは同時にまったく別の改ざんも行われていた。

(2010/03/08 ネットセキュリティニュース)

■【注意喚起】Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認(LAC)
http://www.lac.co.jp/info/alert/alert20100303.html
■ ガンブラー対策「.htaccess」にも注意!(エフセキュアブログ)
http://blog.f-secure.jp/archives/50354878.html
■ FakeAV, now for Windows 7![英文](Sophos)
http://www.sophos.com/blogs/sophoslabs/?p=8963
■ TrojanDownloader:Win32/FakeVimes[英文](Microsoft)
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader%3aWin32%2fFakeVimes
■ Rogues FakeVimes and PrivacyCenter added to MSRT[英文](Microsoft Malware Protection Center)
http://blogs.technet.com/mmpc/archive/2009/11/10/rogues-fakevimes-and-privacycenter-added-to-msrt.aspx

投稿情報: 09:26 |

|