WARNING: A PC Shop Site crumbled down?
ちょっとまだ確認ができていませんが
1行削除 ++ 会社名 ++
hxxp://www.geno-web.jp/
がウィルス汚染されているかもしれない?という報告が上がっています。
まずは、不用意にアクセスしないように注意してください。
PDF / Flash を使った攻撃の可能性があります。
詳細は追って
------------------------------
確定した情報ではありませんので誤報の可能性もありますが・・・・
AJax用の jQueryライブラリが改竄され、不正規なURLアクセスによってファイルがダウンロードされた可能性があります。
アクセス先:
hxxp://94.247.2.195/news/?id=2
(Document write PDF)
Aguse先生:
サイト 94.247.2.195 の調査結果
非営利団体SPAMHAUSプロジェクトによるIPアドレスベースの送信者ブラックリスト [CAUTION]
Trace -- 94.247.2.195
CIDR: 94.0.0.0/8
全ブロックするにはちょっと範囲が広すぎる・・・
inetnum: 94.247.2.0 - 94.247.3.255
netname: ZLKON
descr: ZlKon
country: LV (ラトビア)
コノヘンで手を打ちましょうか(笑)
-----------------------------------
Google先生に訊くと?
MALWARE DOMAIN LIST
に入ってるので、かなり赤いです。
Black Hat SEO and Rogue Antivirus p.5
ここにかなり詳細に書かれていますが
Adobe PDF脆弱性攻撃やら、オーバーフロー攻撃やら、PE型マルウェアダウンロードやら、いろいろヤバそうです。
jQuery改竄についても解説がありますので、AJaxに詳しい人は目を通しておくといいかもしれません。
現況(複数のファイル群の1個):
dropper.bin -- 1d62a21e2d52467b78152e52c0359199
4 月 6th, 2009 at 8:39 AM
[...] きなのかよくわかりませんが、とりあえず zlkon-virusとでもよんでおきましょう。 昨日はPC通販サイトがヤラれていましたが、更に汚染サイトが増えています。 ウィルスベンダー各社はま [...]
5 月 13th, 2009 at 8:46 AM
[...] - 2009.05.02 UK Dedicated Servers Limited - (gumblar -- Russian ) 94.247.2.0 - 94.247.3.255 zlkon.lv -- 2009.04.05 ZLKON Latvia 195.2.252.0/23 (195.2.252.0 - 195.2.253.255) Spam and Fake AV -- 2009.04.05 [...]
5 月 14th, 2009 at 7:27 AM
[...] 94.247.3.3 : hs.3-3.zlkon.lv マタオマエカ・・・ 94.247.2.0 - 94.247.3.255 zlkon.lv -- 2009.04.05 ZLKON Latvia おそらく根っこが一緒のヤツ: 91.211.64.0/23 91.212.41.0/24 [...]