PC通販ショップGENOのサイトにマルウェアが仕込まれる − スラッシュドットジャパン
http://slashdot.jp/security/09/04/07/042220.shtml
アレな人のコミュニティ「スラッシュドットジャパン」によると、
4/4朝(詳細時刻不明)、GENOというPC通販ショップのWebサイトにマルウェアが仕込まれたようで、2ちゃんねるなどで話題になっている。
仕込まれたマルウェアはAdobe Reader/Flashの脆弱性を突くもので、また新型であるため一部のアンチウィルスソフトでしか検知できないようだ。また、検知はできても削除は対応していないため、感染した際にはOSのクリーンインストールが推奨される。
なお、該当のサイト(http://www.geno-web.jp/)は現在はメンテナンス中となっている。
追記@14:30:コメントによると該当のサイトはメンテナンス中であるものの、まだ脆弱性を突くコードにアクセスできる可能性があるということなので、サイトへのリンクを外しました。アクセスについては自己責任でどうぞ。
…とのこと。
また、2ちゃんねる内部の情報では、
3 : モクレン(石川県):2009/04/07(火) 11:14:42.92 ID:jLm5dvjo
(1)感染したWebページをひらく
↓
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
↓
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
↓
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
↓
(5)bufferOverrunでウィルス本体の起動を試行
感染した場合
パスワードなどの個人情報が抜かれている可能性あり
いつものバックドア系ウイルスなんだけど、今回なんか変だな
・PDFファイルとかシステムファイルがなぜか増殖する
・メモリを馬鹿食いする
・再起動時にブルースクリーン
とりあえず、駆除せずに再起動したら帰ってこれないかもしれないな
対策
WindowsUpdate
PDFリーダーを最新にする (AdobeReader や Foxit Reader)
AdobeFlashを最新にする
94.247.2.195(94.247.[2-3].[0-255])への接続を遮断
Javascriptを切る
スレに貼られている怪しいリンクは開かない(GENO、juicyrock、短縮URL)
274 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/04/07(火) 16:19:00.03 ID:2LVvXzfi0 (PC)
PC通販ショップのサイトがクラックされて罠サイト化してるらしいね。
オープンプロクシにもなっていたっぽい。
短縮URLサービスを悪用して偽装したリンクをあちこちのスレに貼って
回ってるやつがいるから、2ch内で流行中。
JavaScript、Flash、PDFを経由してexeを仕込むようなので、
Flash Player、Adobe ReaderのバージョンチェックとFirefox+NoScriptなどの
防御が重要。
Flash Playerは10.0.22.87、Adobe Readerは9.1になっていないと危険。
Flash PlayerはIE用とそれ以外のブラウザ用の両方を確認する必要がある。
SecuniaのPersonal Software Inspector(PSI)で各種インストール済みソフトの
バージョンチェックもお勧め。
さすが歴戦のネ実アカハックスレ
今回のウイルスに感染しないためのテンプレがあった
…だそうだ。
ウィルス対策ソフトでも、物によっては「検知は出来るが駆除は出来ない」「検知すら出来ない」状況らしいので、怪しいリンクは踏まないようにしよう。
URL短縮サービスで偽装されたらうっかり踏みそうだ。
早いところアンチウィルスベンダ各社には対応をしてもらいたいところだ。
http://slashdot.jp/security/09/04/07/042220.shtml
アレな人のコミュニティ「スラッシュドットジャパン」によると、
4/4朝(詳細時刻不明)、GENOというPC通販ショップのWebサイトにマルウェアが仕込まれたようで、2ちゃんねるなどで話題になっている。
仕込まれたマルウェアはAdobe Reader/Flashの脆弱性を突くもので、また新型であるため一部のアンチウィルスソフトでしか検知できないようだ。また、検知はできても削除は対応していないため、感染した際にはOSのクリーンインストールが推奨される。
なお、該当のサイト(http://www.geno-web.jp/)は現在はメンテナンス中となっている。
追記@14:30:コメントによると該当のサイトはメンテナンス中であるものの、まだ脆弱性を突くコードにアクセスできる可能性があるということなので、サイトへのリンクを外しました。アクセスについては自己責任でどうぞ。
…とのこと。
また、2ちゃんねる内部の情報では、
3 : モクレン(石川県):2009/04/07(火) 11:14:42.92 ID:jLm5dvjo
(1)感染したWebページをひらく
↓
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
↓
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
↓
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
↓
(5)bufferOverrunでウィルス本体の起動を試行
感染した場合
パスワードなどの個人情報が抜かれている可能性あり
いつものバックドア系ウイルスなんだけど、今回なんか変だな
・PDFファイルとかシステムファイルがなぜか増殖する
・メモリを馬鹿食いする
・再起動時にブルースクリーン
とりあえず、駆除せずに再起動したら帰ってこれないかもしれないな
対策
WindowsUpdate
PDFリーダーを最新にする (AdobeReader や Foxit Reader)
AdobeFlashを最新にする
94.247.2.195(94.247.[2-3].[0-255])への接続を遮断
Javascriptを切る
スレに貼られている怪しいリンクは開かない(GENO、juicyrock、短縮URL)
274 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/04/07(火) 16:19:00.03 ID:2LVvXzfi0 (PC)
PC通販ショップのサイトがクラックされて罠サイト化してるらしいね。
オープンプロクシにもなっていたっぽい。
短縮URLサービスを悪用して偽装したリンクをあちこちのスレに貼って
回ってるやつがいるから、2ch内で流行中。
JavaScript、Flash、PDFを経由してexeを仕込むようなので、
Flash Player、Adobe ReaderのバージョンチェックとFirefox+NoScriptなどの
防御が重要。
Flash Playerは10.0.22.87、Adobe Readerは9.1になっていないと危険。
Flash PlayerはIE用とそれ以外のブラウザ用の両方を確認する必要がある。
SecuniaのPersonal Software Inspector(PSI)で各種インストール済みソフトの
バージョンチェックもお勧め。
さすが歴戦のネ実アカハックスレ
今回のウイルスに感染しないためのテンプレがあった
…だそうだ。
ウィルス対策ソフトでも、物によっては「検知は出来るが駆除は出来ない」「検知すら出来ない」状況らしいので、怪しいリンクは踏まないようにしよう。
URL短縮サービスで偽装されたらうっかり踏みそうだ。
早いところアンチウィルスベンダ各社には対応をしてもらいたいところだ。
アクセス
トータル
ランキング
参考になりました。
いつ、どこにどういうトラップが仕掛けられているか分からないのがネット社会の怖いところですね。ウィルスに限らず、ソーシャル面でもです。