gumblar.xのスクリプトが妙なことになっています。
とりあえず無害ですが…。
Bredo vs. Zeus: The Battle of the Bots continues (Sophos)
BredoとZeusが抗争中のようです。
Mal/Iframe-N: The next big threat? (Sophos)
Mal/Iframe-N: Another winning infection? (Sophos)
インジェクション onload属性の利用 (cNotes)
これはiframe~8080~phpの話ですが、その数日後に先ほどのスクリプトです。
iframes are EVIL! Hate Zeus! (Sophos)
あれ? gumblar.xはZeusとは違うの?
Gumblar Website Botnet Awakes (ScanSafe)
Zeus Bot Joins Gumblar Attacks (ScanSafe)
よく読むと、これはscriptではなくiframeなので
gumblar.xではなく、むしろ抗争相手なのかもしれません。
両者は多くの点で似ているので、ちょっとした内紛かもしれません。
あるいは、webに注入する勢力同士の抗争ではなく、メールを主とする等の
別の勢力が書き換え手順を解析した等で上書きしてしまったのかもしれません。
誰がなぜ書き換えたのかはともかく、これで安全、というわけではありません。
有害なコードから無害なコードに書き換えられてしまったサイトは
いつでも再び有害なコードに書き換えられるサイトでもあります。
関連情報
Adobe Reader / Acrobatを狙う攻撃が減少 (IBM 東京SOC)
Gumblarに異変
1 2 (So-net)
