金曜日, 5月 07, 2010

新しいウェブサイトindex.htmlのマルウェア攻撃が発見

本件の情報は昨日の夜に発見されて今朝JST迄に確認を取りました。このブログ情報を出す迄に立った3日間攻撃が行なっている所です。

大きいホスティングISP会社のユーザのホームページに新しいマルウェアのスクリプトが発見されました。この攻撃はあちこちのISPに来ました。確実に確認が出来たのはアメリカISP「GoDaddy」とイタリア「Aruba」サービスを攻撃されて、ユーザのホームページindex.htmlの中にマルウェアのコードを追加されている状況です。

マルウェアの感染仕組みは未だ調査中ですが解決方法がホームページのhtmlデータに追加されたスクリプトを削除が必要です。追加情報ですがこのマルウェアの仕組みではtwitter.comサイトに繋ぎがあります。

下記のurlで詳細マルウェアスクリプト情報とアナライズ情報が書いてあります。ご確認下さい。

http://www.securityfocus.com/archive/1/511164

調査情報が出たらこの内容をまた追加します。
現在virustotalとvirscan.orgのスキャン結果は下記となります(09:47 JST)
2社AVベンダーの検知が出来ました⇒「Heuristic.BehavesLike.JS.Unwanted」(McAfee)と「JS/Twetty.A」panda。このJavaScriptでPACKEDのマルウェアobjectをencodedされてます。
1) http://www.virustotal.com/analisis/841dfb1bb6e7d0650866585d60a571f7faeb436e6204857593491d83b582ab07-1273193138
2) http://virscan.org/report/a59f4c3c9cf2cf1cbf2f2fdbbc1b6cf5.html

---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿