0day.jp (ゼロデイ.JP): #OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます!(情報元のブックマーク数)

なんか、結構感染してるらしい。要注意

日本国内の285件ウェブサイトが「Darkleech Apache Module」マルウェアに感染し、もし感染されたサイトをInternet ExplorerブラウザでアクセスしたらBlackholeの感染サイトに転送されてしまいます。転送されたらパソコンにあるPDF/Java/Flash古いバーションの脆弱性を使われて、パソコンがBlackholeで提供されているマルウェアに感染されます、との恐ろしい状況が現状日本に発見いたしました。 確認した結果は、合計285件の国内のウェブサイトが感染されまhしたが、一覧はこのポストに下に書きましたので、あなたのウェブサイトが大丈夫かどうかは御確認して下さい。 【感染状況の説明】 その285件のサイトにアクセスしたら、どんな転送動きになるのか説明します↓ 例えば一覧にある「www.systemmetrix.jp」ドメインですね、ウェブサイトをInternet Explorerでアクセスしたら、下記のキャップチャーデータとなります↓

0day.jp (ゼロデイ.JP): #OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます!

一方、URL のパス部には以下のような特徴が見られるため、今回の事件に関し、現時点では以下をキーに検知、及びブロックすることを検討すべきでしょう。

/[a-f0-9]{16}/q\.php
/[a-f0-9]{32}/q\.php

IIJ Security Diary: BHEK2 による大量改ざん

screenshot