Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

価格.comがハッキング

うむむ、大変なことになってたみたいで。タレコミ、じゃなくて情報提供を頂いたのでそのソースを調べてみました(あっと、私のわかる範囲です・・)。但し、これですべてなのかどうかはわかりませんけど。

MhtRedir.Exploit(MS04-013)を使ってパスワードスチール系のトロイを仕掛けるみたいです。NOD32とKasperskyでの検出名はそれぞれ「Win32/PSW.Delf.FZ」「Trojan-PSW.Win32.Delf.fz」だそうです。HTMLファイル内のスクリプトはエンコードされてるのでウイルス対策ソフトで検出されないと思います。

【追記】(NOD32での検出名)Win32/TrojanDownloader.Small.AAO 入りのものもあるらしい?拡張子は【css】ですが、実際には【chm】ファイルとのこと。えーと、つまり圧縮されたドロッパーてことでしょうか?

あくまでこれのみだとしてですが、Windows Update されてるかIEでスクリプトを無効にしていれば自動では感染はしないはずですけど・・・。

う〜ん、これのみであると願いたいです。

【21.25 追記】

マカフィーはEXTRA.DATで対応とのこと。

【22.55 追記】

Norton AntiVirus 2005 ですが、LiveUpdate(自動)で対応しました。拡張子【css】のドロッパー(?)ファイルだけでなく、呼び出し用のスクリプト(HTMLファイル)もTrojan.Jasbomとして検出されました。

【5/17追記】シマンテック社も駆除ツール出てました。でもなんで国内サイトには案内がないのでしょうか?出てました。