林さん久々の登板。てか、ガンブラーかなり解析してたって聞いたけど。やっと浮上ってことかな？

2010年4月23日 夕刻頃（日本時間）より、正規Webサイトを改ざんし、不正なプログラムが自動でダウンロードされるようにする「Webからの攻撃」に分類される脅威が相次いで確認されています。今回は、その中から一例をとりあげ、現在の脅威動向について分析してみます。
我々の不正サイトクローリングシステムによれば、4月23日に「gr＜省略＞ad.com」が「This URL is currently listed as malicious.」（不正サイト）として評価が行われていることを確認しています。

「日本人プロ野球選手のオフィシャルサイト」改ざん事例に対する分析 | トレンドマイクロ セキュリティブログ

赤文字箇所に注目してください。IFRAMタグを使って「gr＜省略＞ad.com/in.cgi?2」へ転送していることが読み取れます。この転送先は攻撃者にとってのゴールでしょうか。
図6 転送サイトの難読化されたコードを可読化（抜粋）
図6 転送サイトの難読化されたコードを可読化（抜粋）
やはりそこには、難読化が施されたJavaScriptが潜んでいました。「gr＜省略＞ad.com」から更に転送された「gi＜省略＞st.com/grep」。どうやらここが悪の巣窟のようです。
IFRAMEタグで指定された「gi＜省略＞st.com」についてもう少し詳しく見てみましょう。IPアドレス情報から位置情報に変換したところ、「Turkey：トルコ共和国」に位置するサーバに転送されていることが特定できます。
「gi＜省略＞st.com/grep/error.js.php」に仕掛けられたスクリプトは「Adobe Reader/Adobe Acrobat」の抱える脆弱性を突いてきました。PDFの機能を使って転送を仕掛けるための攻撃です。同時にブラウザ環境情報を送信します。更なる攻撃へのシナリオ作りと行ったところでしょうか。

「日本人プロ野球選手のオフィシャルサイト」改ざん事例に対する分析 | トレンドマイクロ セキュリティブログ