beladen.net
いや・・感染サイトがちっとも見当たらないけど、ニュースではどんどん増えてるような様子なので、何が何だかわかりません
"Beladen" website compromises cropping up
A mass injection attack similar, but unrelated, to Gumblar has infected more than 40,000 websites, according to new research from Websense Security Labs.
増えてるし・・
古いブラウザの脆弱性を突いてトロイの木馬を埋め込もうとし、またポップアップしてくる広告で偽のセキュリティソフトを購入させようとしているようです。
Websenseの話では、現在のところ、「どの脆弱性」を悪用したものか特定できていません。しかし、攻撃者はそれら感染したWebSiteの何らかの穴を突いて、不正なiframeと、難読化されたJavaScriptコードを埋め込んでいます。恐らく、特定の BlogやforumのCMSか、あるいはWebSiteの構築に使用されたFrameworkの脆弱性の悪用だと思われます。
この悪意コードの結果、感染サイトへの訪問者は2度リダイレクションさせられます。一つは攻撃者の解析ログへ、そしてMalwareが散布されている beladenへ跳ばされます。リダイレクションは瞬きする間もなく完了します。
Beladen siteに跳ばされた時、FirefoxやInternet Explorerの最新版を使用していなければ、ユーザの動作確認無しにマルウェアがダウンロードされ、実行されます。
beladen.net
応答ありません・・・
beladen.net の診断ページ
このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に 3280 個のドメインを感染させています。
---------------
Beladen.net Q&A
翻訳は時間切れ・・
斜め読みでは
Baleden.netは3つのNameserverに登録されていますが、有効なレコード情報が欠落しています。Beladen.netは逆引きを localhost(127.0.0.1)に設定しているため、逆引きをできなくしています。
現時点で確認できることは、2009年5月の1・2週における統計で、Gumblarによる攻撃がScanSafeのWeb Malware Blockの実に37%を占めていますが、Beladen は .02% に過ぎませんし、5月全体でも .03%でしかありません。
別の方法で Beladen 感染の「インパクト」を判断してみましょう。
15,000席の(Scansafe顧客の)Web観衆が、5月の月間で、一週間に 500ものMalwareサイトに遭遇しました。最初の2週間で Gumblarに感染したサイトに遭遇したケースは 250にも上りました。しかしながら、15,000の観衆の中で Beladen 感染サイトに遭遇したのはたった1例で、しかも遭遇の前にブロックされていました。
Beladenに感染すると、FTPアカウントを窃取されるのではないかと思われます。これは多くの感染サイトが初期段階で陥る実害です。Beladenの感染サイトは Linux上のApacheで動作していましたが、個々のサイトで使用されているプラットフォームは異なるでしょう。
大量の感染サイトがあるとメディアでは報告されているますが、ScanSafeのTraffic Logにはこれらの実態が確認できません。
Google Analyticsと誤解させるようなサイトは、Beladenの関連なのか? に関してですが、これらのサイト群はたまにMalwareの散布に使用されることもありますが、ほとんどは Malware散布者のアクセス解析に使用されているとみられています。これらのサイト群が Beladen の犯人と同一のものかどうか?という明確な判断を下せるほど、有効な情報がありません。
誤訳してたらごめんなさい
Google Analytics のスペルがややこしい! ということなんですかね?(苦笑)
とりあえず、 google ana... のミスリードを誘うLink群は、攻撃者との明確な連携はないかもしれません。が、塞いでおくに越したこともありません。