UnderForge of Lack

いきなり TOP にズラズラと汚染サイトのリストを書くのは止めにします。

2009.04.17 ２行削除

着実に、感染サイトが減ってきｔ・・・（無言）

というかですね・・ISPから返事が来てるにもかかわらず、まだ感染放置してるトコがあるんですけど、どうなってるんでしょう？


------------
gumblar.cn の診断ページ
不正なソフトウェアをホストしていたかどうか？
はい、このサイトでは不正なソフトウェアのホスティングで、648 個のドメインを感染させています。
1437 から減りました

WOTセキュリティスコアカード : gumblar.cn
警告！ 評価の低いサイトです。

McAfee Site Advisor : gumblar.cn
このサイトは検査待ちです。自動検査の結果が出るまでしばらくお待ちください。
レビュー協力者と Web サイトオーナーのコメント : アドウェア、スパイウェア、ウイルス (2)



gumblar.cn
Norton 評価 : 安全

先生！？

ScanSafe が gumblar.cn へのコメントを出しました。
Google SERPs Redirections Turn to Bots

だいたい既報のとおりですが

スクリプトの最初の部分は、特定のクッキーを探しスクリプト解釈のエンジンを特定します。その結果に応じてスクリプトが可動かどうかを判断しているようです。攻撃者はこの分岐によって "Internet Explorer"のみを狙っているように思われます。マルウェアの実行環境はブラウザに依存しない Flash/Acrobatの脆弱性を悪用しているにもかかわらず、なぜそんな分岐を行っているのかは不明です。

正確に言えば、 WindowsXP, Windows 2000, Windows Server 2003が対象です。

詳細はこちら
gumblar.cn

問題は、コレ
gumblar.cnに感染したサイトは、悪意をもった iframe によって 213.182.197.23 からマルウェアをダウンロードしようとします。94.247.2.195 および 213.182.197.23 の双方は ラトビアにホスティングされていますが、gumblar.cnドメインは ukservers.com ( 英国) に逆引きされる、モスクワのIPとなっています。偶然にも、このマルウェアは感染の最終段階で 78.109.29.112 からの ボットネット命令(C&C)を待ち受けにするバックドアをインストールしました
過去のBotNet-C&Cとマルウェアは、強制リダイレクションによって強く結びついているようです。

BackDoorを埋め込んでいた IFRAME散布は、過去に・・・
94.247.3.151 [hs.3-152.zlkon.lv]
94.247.3.150 [hs.3-150.zlkon.lv]
によって行われていました。

詳細：
Black Hat SEO - RBN Hacks, p.1
注意：アクティブリンク先に感染サイトが入っています。


BotNetですか・・ますます、感染した人へのケアが必須になってきましたが、どーするんでしょうねコレ

１回、塞いだ危険IPの再チェックしないといけませんね（嘆息）

とりあえず・・・
fpsx8 - Anatoliy Vasnetsoff UA
78.109.29.112 - 78.109.29.119
or
Datacenter Hosting.UA UA
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)

JUNIK LV
213.182.192.0 - 213.182.223.255

ZLKON LV
94.247.2.0 - 94.247.3.255

UK Dedicated Servers Limited UK
94.229.64.0/20 (94.229.64.0 - 94.229.79.255)

自分は、最近あまり見なくなりましたが・・・
有名サイト ニコニコ動画 (www.nicovideo.jp)の偽者が現れたという報告を受けました

nicovedeo.com
紛らわしいにも程が・・

nicovedeo.com
61.139.126.14

MAINT-CHINANET CN (CHINANET-SC)
61.139.0.0 - 61.139.127.255

VBScriptを利用した Malware ドロッパっぽいですが・・

VTが死んでるっぽいので、Anubisに投げてみました

MA.exe

----------
GET /images/china.bmp
って、中国国旗でも出すのかな？（笑）

----------
追記：

Display File：
Response: 404 "Not Found"
・・・・・・・・・存在しないではありませんか？（笑）

接続先：
124.238.253.102
www.china.com (中華ネット) resolved : 124.238.253.103

焼くかどうかは微妙なとこですが、焼却主義な方へ
CHINANET hebei province network CN (China Telecom)
124.236.0.0 - 124.239.255.255

----------
ちなみに・・・

Virtual Key Code
VK_LBUTTON (1) （マウス左クリック） : Times (298)
何回クリックさせられるんでしょうね？

----------
unknown -- 04.23.2009 01:02:06 (CET) 29/40 (72.50%)

マルウェアの散布ドメインが一巡してきました（苦笑）

----------
gianthighestfind.cn
thehugetitstop.cn
bizoplata.ru
91.212.65.33

コレですね・・・

inetnum: 91.212.41.0- 91.212.41.255
netname: gaztranzitstroyinfo-net RU

----------
195.2.253.* からのspam およびリダイレクション誘導も激化しています。

MADET-NET RU
195.2.252.0/23 ( 195.2.252.0 - 195.2.253.255)

----------
見慣れない IPが・・

jii.be
78.159.112.200

NETDIRECT-NET DE
78.159.112.0 - 78.159.115.255

----------
いつか～どこかで～見た～このIPわぁ～？

nipels.ru
94.232.248.56

どこだっけ？　これか！（笑）
obama2welcome.ru : 94.232.248.56
PWS:Win32/Zbot.M -- obama2welcome.ru

Bastion Trade Group UA (ウクライナ)
94.232.248.0 - 94.232.255.255

TrendMicro が週間ウィルス観測報告を出し、JS_AGENT.AVR への警戒を呼びかけているわけですが・・あんまり意味ないんですよね、コレ

何故か OCN しか見当たらず（笑）
今週のウイルス被害報告 TOP10（トレンドマイクロ）
上位の傾向に大きな変化はありませんが、日本のランキングでは、初登場の「JS_AGENT.AVR」が4位にランクインしているのが目立ちます。「JS_AGENT.AVR」は JavaScript で記述された不正プログラムです。感染の手口は、前々回のランキングで2位にランクインした「JS_AGENT.AOIP」とほぼ同様です。

JavaScript は便利なため多数のウェブサイトで使用されていますが、サーバではなくブラウザ側で処理が行われるため、ユーザにとってはある意味危険な機能です。信頼できるウェブサイト以外では、JavaScript の実行をオフに、ブラウザを設定されることをおすすめいたします。信頼できるウェブサイトであっても必要がない場合はオフにしておき、どうしても必要な場合だけオンにするなど、日頃から用心する習慣をつけましょう。（OCN）

意訳するなら・・

セキュリティソフトを過信するな！ってことなんでしょうね

新型 JS Downloader：
pakzilla_gambler_infected_html(2/40)

あんまりどころの騒ぎじゃない・・

Malware7(笑) ですが、やはり ISO で配布されていたものでした。

Windows 7 RC build 7100 Download: Warning -- neowin
Just a warning for anyone downloading the new RC builds of windows 7. Quiet a lot of the downloads have a trojan inbedded in the setup EXE. This should not be an issue if you booted from the DVD and installed, but if you upgraded it may have infected you.
The MD5 of the infected image is 838F96D945C9554835A96CF41DEC9453

さすがに VirusTotalには無かった（当たり前だ・笑）
※当たり前： 4GBのファイルを送れるチェッカは存在しない

タブンコレですね
Windows 7 Ultimate x64 RC Build 7100\7100.0.090421-1700_x64fre_client_en-us_Retail_Ultimate-GRC1CULXFRER_EN_DVD.iso
MD5: 838f96d945c9554835a96cf41dec9453
SHA1: 8808e59a95e7c0561b97d613b5dfb12f3cc10bf4
RIPEMD160 : a2331edfff3e0c2810b5c205b9d766c2e5da4363
CRC32: 548fa04c

英語版のみっぽいので、国内の感染者は（あまり）居ないとは思いますが、ネンノタメ

Downloader-BPQ