GENOウイルスまとめ
どうやら、GENO以外のサイトでも感染する可能性があるようで…
有志の方がまとめてくれているwikiがあるので、転載するのも無意味ですし、誘導しておきます。
気になる方は一読を。
あと、セキュリティ板の方を見ていたら、気になる情報が載っていたので、ひとつだけ試してみました。
94.247.2.195に、Firefoxでアクセスすると、下記のような画面になり、
このサイトがブロックされる理由をクリックすると、Googleの診断結果が。
過去90日間の間に、不正なソフトウェアがホストされていて、7560個のドメインを感染させていたと…今回のGENOサイトも改ざんされ、このサーバー上の改変jquery.jsを実行するようになっていたらしいので、wikiでも他の感染サイトが報告されていますが、まだ見つかっていない改ざんされたサイトがあるのかもしれません。
【セキュリティ】GENOウイルススレ
http://pc11.2ch.net/test/read.cgi/sec/1239152979/
情報の正確性は自分自身感染していないので何ともいえませんが、どんな動作をするかの流れを、上記スレからコピペ。
1 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/04/08(水) 10:09:39
(1)感染したWebページをひらく
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし(?)
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3リンクは切れており現在無害(当環境では)
以下のリンクは生きており感染実験希望の方はドゾ
★危険ですので注意
hxxp://94.247.2.195/news/index.php少しわかってること:
WINDOWSの正規ファイルを上書き(?)する可能性大Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
あと、94.247.2.195の whois 情報の抜粋も載せておきます。
IPアドレス => 「 94.247.2.195 」
ホスト名変換 => 「 hs.2-195.zlkon.lv 」inetnum: 94.247.2.0 - 94.247.3.255
netname: ZLKON
descr: ZlKon
country: LV → (ラトビア)
