今度の改竄は「/*CODE1*/」 ― 2009/12/23 21:33
『/*GNU GPL*/』『/*CODE1*/』のウェブ改ざん - 無題なブログ
<script>/*CODE1*/ tryで検索してみた
……記録をとってないからさだかじゃないですけれど、この前検索したときもだったような。
Gumblar攻撃再開(要注意):Gumblarの対策に書いたものですが、対策方法は同じです。
Adobe Readerの0-dayについては、アンインストールするか、最悪でもAdobe ReaderのJavaScriptを切っておきましょう。
0-dayの対策版がリリースされるまでは、基本PDFは開かない。どうしてもの場合は、出所のはっきりした信頼できるPDFだけ開くようにしましょう。
他のPDFビューアーに乗り換えるのも手ですが、自分できちんと管理しないとAdobeほど騒がれないので、バージョンアップや脆弱性の情報を入手しそこなう危険があります。
Secunia PSI - 窓の杜など管理ツールを使うとか、バージョンアップ情報が手に入るような環境作りが必要になります。
画像から下はほとんど追記というか書き直してます。
補足で記事を一つ書くつもりだったのに、中断してしまったのでその代わりです(^^;
攻撃元では、Microsoft系ソフトウェアやAdobe系ソフトウェア以外に、サン・マイクロシステムズのJava(JavaScriptとは無関係)の脆弱性を悪用する処理が用意されてます。無料のJavaはパソコンを購入した時点であらかじめ導入されてる場合があります。
ちゃんと最新版になってるか確認することと、不要ならパソコンから削除してしまうのも手。
<script>/*CODE1*/ tryで検索してみた
Gumblar攻撃再開(要注意):Gumblarの対策に書いたものですが、対策方法は同じです。
Adobe Readerの0-dayについては、アンインストールするか、最悪でもAdobe ReaderのJavaScriptを切っておきましょう。
0-dayの対策版がリリースされるまでは、基本PDFは開かない。どうしてもの場合は、出所のはっきりした信頼できるPDFだけ開くようにしましょう。
他のPDFビューアーに乗り換えるのも手ですが、自分できちんと管理しないとAdobeほど騒がれないので、バージョンアップや脆弱性の情報を入手しそこなう危険があります。
Secunia PSI - 窓の杜など管理ツールを使うとか、バージョンアップ情報が手に入るような環境作りが必要になります。
画像から下はほとんど追記というか書き直してます。
補足で記事を一つ書くつもりだったのに、中断してしまったのでその代わりです(^^;
コメント
_ kiyoP ― 2010/01/01 08:39
_ puppet ― 2010/01/01 12:18
kiyoP様
どうも初出のようです。
申し訳ありませんが、今、生贄にできる環境を作っていないので、どんなものか分かりません。
(JavaScriptとか分からないもので、複雑なことをされるとソースでは追いきれないです)
ちょっとG`nome様に尋ねてみます。
どうも初出のようです。
申し訳ありませんが、今、生贄にできる環境を作っていないので、どんなものか分かりません。
(JavaScriptとか分からないもので、複雑なことをされるとソースでは追いきれないです)
ちょっとG`nome様に尋ねてみます。
_ G`nome ― 2010/01/01 15:46
えーっと、
8080系の複合攻撃分岐ですが、難読化が更に激しくなっています。
使用している脆弱性(1):
Office Snapshot Viewer
ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2463
使用している脆弱性(2):
Adobe (Acrobat) Reader
PDF
ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927(いつもの getIcon)
あとたぶんコレも
ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324(現在絶賛ゼロデイ中)
PDFが降ってこないので確証はありません。
使用している脆弱性(3):
"jjj.jar"
恐らくコレ:
ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
ドロッパーのビヘイビア:
ttp://anubis.iseclab.org/?action=result&task_id=1d3151ed01f41cc0479ca2bff543c4ef0&format=html
VirusTotalの結果:
ttp://www.virustotal.com/analisis/3cc23c05403a7848fd9b4d3df4fdaf094f86449967918548ec136118b71ece2c-1262327075
AntiVirがスルーしてるのがちょっと気になりますね。
8080系の複合攻撃分岐ですが、難読化が更に激しくなっています。
使用している脆弱性(1):
Office Snapshot Viewer
ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2463
使用している脆弱性(2):
Adobe (Acrobat) Reader
ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927(いつもの getIcon)
あとたぶんコレも
ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324(現在絶賛ゼロデイ中)
PDFが降ってこないので確証はありません。
使用している脆弱性(3):
"jjj.jar"
恐らくコレ:
ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
ドロッパーのビヘイビア:
ttp://anubis.iseclab.org/?action=result&task_id=1d3151ed01f41cc0479ca2bff543c4ef0&format=html
VirusTotalの結果:
ttp://www.virustotal.com/analisis/3cc23c05403a7848fd9b4d3df4fdaf094f86449967918548ec136118b71ece2c-1262327075
AntiVirがスルーしてるのがちょっと気になりますね。
_ puppet ― 2010/01/01 16:16
G`nome様、ありがとうございます。m(_ _)m
8080系ですか。
これでもう「GNU GPL」「CODE1」とか呼ばなくていいんですね……いや、そこは喜ぶところじゃない。orz
コピペしてるだけの私では、検索すらままならないなんて、もう手のつけようがないですね。
8080系ですか。
これでもう「GNU GPL」「CODE1」とか呼ばなくていいんですね……いや、そこは喜ぶところじゃない。orz
コピペしてるだけの私では、検索すらままならないなんて、もう手のつけようがないですね。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/12/23/4773983/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
<script>function ZCLTWYUnb(cTFkV){var FdjfKh=2
で始まるコードに更新?されてる。上記ワードでGoogleすると「損害を与える・・・」
と警告。既出?新型?