本日マカフィーインターネットセキュリティの2008バージョンテストを行っていました所、やはりと言うか危ないと言うかアフィリエイト広告(海外のアフィリエイト広告)内に攻撃コードを確認したのでご報告させて頂きます。
海外サイトをよく利用される方はWEBフィルタの導入をお勧めします。
本日テストにと思い、新種のzlobテスト確認を行っていた所とあるサイトでポップアップ表示された広告から攻撃を受けました。
マカフィー側で一応ブロックした様に見えたのですが、その後以下のコマンドが自動実行されてしまいPCはフリーズ。携帯電話でスクリーンショットを取る羽目となりました。
海外サイトをよく利用される方はWEBフィルタの導入をお勧めします。
本日テストにと思い、新種のzlobテスト確認を行っていた所とあるサイトでポップアップ表示された広告から攻撃を受けました。
マカフィー側で一応ブロックした様に見えたのですが、その後以下のコマンドが自動実行されてしまいPCはフリーズ。携帯電話でスクリーンショットを取る羽目となりました。
マカフィーの体験版は入っているものの、該当のアフィリエイト広告直接確認を試みるも、広告ページを開くと何かの悪性コードが実行される様でPCは殆どビジー状態になり確認を取ることが現状できない状態です。後日時間を掛けて調べてみます。
テストPCの状態が悪いので、念の為カスペルスキーオンラインスキャンを試行。
以下のパソコンウイルスが入り込んでしまいました。マカフィーにて該当ファイルを直接検査するも反応無し(オプション項目で検査対象ファイルは全て:デフォルト設定を確認済み)
カスペルスキーオンラインスキャン結果から、感染ウイルスが存在するディレクトリを確認したので、該当パスを開くとコード実行時に作成されたであろう意図しないファイルをZIPファイルにまとめてカスペルスキーファイルスキャンで検査してみました。
結果は以下の通りです。
test.zip/B.tmp - に感染しています Email-Worm.Win32.Zhelatin.vg
test.zip/D.tmp - に感染しています Backdoor.Win32.Agent.etw
test.zip/syskhit.exe - OK test.zip/syslckf.exe - OK
test.zip/sysmanl.exe - OK
test.zip/syspoqu.exe - OK
test.zip/sysrtco.exe - OK
test.zip/syswtbu.exe - OK
test.zip/6.tmp - OK
test.zip/7.tmp - OK
test.zip/8.tmp - に感染しています Trojan.Win32.Agent.hts
test.zip/9.tmp - に感染しています Trojan.Win32.Pakes.cfw
test.zip/A.tmp - OK
何故マカフィーは上記のパソコンウイルスを検出しないのでしょうか。もしかすると冒頭実行されたコード
zashita
reload zashita
reload killer
に何らかの理由があるのかもしれません。
取り急ぎ、ご報告させて頂きました。一応ヒットした悪性コードは動画関連の検索からヒットしたものですが、以前にも報告したとおり、大手ポータルサイトに掲載しているアフィリエイト広告からも悪性リダイレクトコードもあるので(winfixer系トラップを仕掛けている)、しっかりとした対策が必須です。
以下のパソコンウイルスが入り込んでしまいました。マカフィーにて該当ファイルを直接検査するも反応無し(オプション項目で検査対象ファイルは全て:デフォルト設定を確認済み)
結果は以下の通りです。
test.zip/B.tmp - に感染しています Email-Worm.Win32.Zhelatin.vg
test.zip/D.tmp - に感染しています Backdoor.Win32.Agent.etw
test.zip/syskhit.exe - OK test.zip/syslckf.exe - OK
test.zip/sysmanl.exe - OK
test.zip/syspoqu.exe - OK
test.zip/sysrtco.exe - OK
test.zip/syswtbu.exe - OK
test.zip/6.tmp - OK
test.zip/7.tmp - OK
test.zip/8.tmp - に感染しています Trojan.Win32.Agent.hts
test.zip/9.tmp - に感染しています Trojan.Win32.Pakes.cfw
test.zip/A.tmp - OK
何故マカフィーは上記のパソコンウイルスを検出しないのでしょうか。もしかすると冒頭実行されたコード
zashita
reload zashita
reload killer
に何らかの理由があるのかもしれません。
取り急ぎ、ご報告させて頂きました。一応ヒットした悪性コードは動画関連の検索からヒットしたものですが、以前にも報告したとおり、大手ポータルサイトに掲載しているアフィリエイト広告からも悪性リダイレクトコードもあるので(winfixer系トラップを仕掛けている)、しっかりとした対策が必須です。
おおーっ。
ご苦労様です。なんか、すごいことを試していたようですね。
来年辺りは、もっと悪質に進化するのでしょうね・・・
こんばんわ。お世話になります。
一応広告をポップアップ表示する元のサイトを調べたのですが特になんら問題は無く
問題となる悪性コードをセットするのは、cnドメインからのポップアップ広告でした。
トレンドマイクロ事件
http://itpro.nikkeibp.co.jp/article/NEWS/20080313/296120/?ST=security
アフィリエイト広告リダイレクト事件含め、もはやネット上に安全は存在しなくなってしまったのかもしれません。