JUGEMブログに不審なコードが埋め込まれています アクセスしたPCが感染する可能性があるので注意!
Yahoo知恵袋で以下のような質問がありました。
すでに回答が寄せられているのですが、無料ブログサービス「JUGEM」にアクセスするとこのような現象が発生するようです。
ためしに「JUGEM」のトップページにアクセスすると、確かに不審なファイルをダウンロードしようとします。
ページのソースをたどると、以下のスクリプトに不審なコードが埋め込まれていることがわかりました。
このコードにより、Yahoo知恵袋の質問と同じファイル「270x320.swf」がダウンロードされます。ダウンロード先のサーバは韓国にあります。
ダウンロードされたファイルをVirusTotalで調べると複数のウイルス対策ソフトがウイルスであると検知しました。
サーバ上には「270x320.swf」以外にも「ads.swf」、「Groph.swf」といったファイルがあり、いずれも同じウイルスであると解析されました。
このウイルスは、シマンテックで「Bloodhound.Flash.24」と命名しているものです。
Bloodhound.Flash.24 | シマンテック 日本
これを見ると、Adobe Flash Playerの脆弱性 (CVE-2014-0515)を悪用したウイルスであることがわかります。
この脆弱性は先月見つかったものです。
Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515):IPA 独立行政法人 情報処理推進機構
すでに脆弱性を修正するアップデートがAdobe社から公開されているので、アップデートしていればこのウイルスの被害にあうことはありません。また、ウイルス対策ソフトが検出し駆除してくれれば問題はありません。
しかし、ウイルス対策ソフトによっては検出できないので(手元のPCではMcAfeeが未検出)、アップデートしていないと感染するリスクが高くなります。
また、私が確認した際にはダウンロードされませんでしたが、「menu.html」などサーバ上にある他のファイルにも悪質なコードが埋め込まれているので注意が必要です。
このエントリを書いている間にどうやらJUGEM側の対応が進んでいるようで、トップページ内のスクリプトから該当のコードが削除されましたが、まだ配下のブログサイトによってはコードが残っています。
いつからコードが埋め込まれていたのかは不明ですが、JUGEMブログを見たことがある方は速やかにウイルスに感染していないかチェックすることをお勧めします。
また、「Adobe Flash Player」も最新のバージョンにしましょう。
次の URL にアクセスし、Flash Player のインストールの有無とバージョンを確認するとよいでしょう。
Adobe - Flash Player
詳細は以前こちらのエントリでも触れているので参考になさってください。
72時間位内の適用推奨 Adobe Flash playerに任意のコードが実行される脆弱性(APSB13-11) - I believe in technology
実はH.I.S.(エイチ・アイ・エス)にも不審なコードが埋め込まれていた! 最近アクセスした方は要注意! : I believe in technology
一昨日お伝えしたJUGEMブログに不審なコードが埋め込まれていた件ですが、その後、旅行会社H.I.S.(エイチ・アイ・エス)のサイトにも同様のコードが埋め込まれていることがわかりました。
お知らせが糞すぎ! BuffaloのダウンロードサイトがJUGEMブログ、エイチ・アイ・エス、Pandora同様改ざんされウイルス配信 : I believe in technology
連日ご紹介していますが、サイトを改ざんし、Adobe Flash Playerの脆弱性を悪用したウイルスをダウンロードさせようとする攻撃がまたもや確認されました。今回は、パソコン周辺機器メーカーBuffalo(バッファロー)社です。
世界遺産 平等院のWebサイトが改ざんされプラダやグッチ、シャネル等のフィッシングサイト置き場にされている件 - I believe in technology
2014年6月2日9:30現在、「世界遺産 平等院」のWebサイトが改ざんされている状態です。
これはウイルスなのでしょうか? ノートンを使っていますが昨日いきなり画面が出て来たので 確認してみると高,1.234.35.42 による侵入の試みを遮断しました。,遮断しました,対応の必要はありません,Web Attack: Adobe Flash Player CVE-2014-0515 2,対応の必要はありません,対応の必要はありません,"1.234.35.42, 80",1.234.35.42/ad/270x320.swf,と出ましたがウイルスでしょうか?
これはウイルスなのでしょうか? - Yahoo!知恵袋
すでに回答が寄せられているのですが、無料ブログサービス「JUGEM」にアクセスするとこのような現象が発生するようです。
JUGEMブログを見ませんでしたか? 私はこのブログを見て同じWeb Attackを検知しました。
これはウイルスなのでしょうか? - Yahoo!知恵袋
ためしに「JUGEM」のトップページにアクセスすると、確かに不審なファイルをダウンロードしようとします。
ページのソースをたどると、以下のスクリプトに不審なコードが埋め込まれていることがわかりました。
このコードにより、Yahoo知恵袋の質問と同じファイル「270x320.swf」がダウンロードされます。ダウンロード先のサーバは韓国にあります。
ダウンロードされたファイルをVirusTotalで調べると複数のウイルス対策ソフトがウイルスであると検知しました。
サーバ上には「270x320.swf」以外にも「ads.swf」、「Groph.swf」といったファイルがあり、いずれも同じウイルスであると解析されました。
このウイルスは、シマンテックで「Bloodhound.Flash.24」と命名しているものです。
これを見ると、Adobe Flash Playerの脆弱性 (CVE-2014-0515)を悪用したウイルスであることがわかります。
この脆弱性は先月見つかったものです。
すでに脆弱性を修正するアップデートがAdobe社から公開されているので、アップデートしていればこのウイルスの被害にあうことはありません。また、ウイルス対策ソフトが検出し駆除してくれれば問題はありません。
しかし、ウイルス対策ソフトによっては検出できないので(手元のPCではMcAfeeが未検出)、アップデートしていないと感染するリスクが高くなります。
また、私が確認した際にはダウンロードされませんでしたが、「menu.html」などサーバ上にある他のファイルにも悪質なコードが埋め込まれているので注意が必要です。
このエントリを書いている間にどうやらJUGEM側の対応が進んでいるようで、トップページ内のスクリプトから該当のコードが削除されましたが、まだ配下のブログサイトによってはコードが残っています。
いつからコードが埋め込まれていたのかは不明ですが、JUGEMブログを見たことがある方は速やかにウイルスに感染していないかチェックすることをお勧めします。
また、「Adobe Flash Player」も最新のバージョンにしましょう。
次の URL にアクセスし、Flash Player のインストールの有無とバージョンを確認するとよいでしょう。
Adobe - Flash Player
詳細は以前こちらのエントリでも触れているので参考になさってください。
続報です
一昨日お伝えしたJUGEMブログに不審なコードが埋め込まれていた件ですが、その後、旅行会社H.I.S.(エイチ・アイ・エス)のサイトにも同様のコードが埋め込まれていることがわかりました。
さらに続報です
連日ご紹介していますが、サイトを改ざんし、Adobe Flash Playerの脆弱性を悪用したウイルスをダウンロードさせようとする攻撃がまたもや確認されました。今回は、パソコン周辺機器メーカーBuffalo(バッファロー)社です。
関連記事
2014年6月2日9:30現在、「世界遺産 平等院」のWebサイトが改ざんされている状態です。
