ウィルス感染サイトに再び遭遇（今度はzlkon）

午前中、「ほぼリンク切れのないサロン情報リスト（サロンリンク集）」に登録するサロンを探していたところ、またウィルス感染したサイトに出くわした。今度は、エステサロンのサイト。サイトにアクセスする際はJavaScriptを無効にしておき、ソースを見てしてからJavaScriptを有効にするようにしていたので、被害は受けていない。

このページのスクリプトは、前のもの（Kaspersky Internet Security 2009 ウェブアンチウィルス大丈夫か？を参照のこと）よりも大幅に短く文字列変換方法も異なる。短いので、手作業で復元してみた。

「94.247.2.195」というアドレスは「gumblar.cn」とは異なり、「jquery.js」を実行するという手段も異なる。
それで、ネット検索してみると次のサイトが見つかった。

  UnderForge of Lack
    http://www3.atword.jp/gnome/tag/zlkon/

ここでは実際にウィルス感染しているサイトを紹介していて、その中に今日見つけたエステサロンサイトも含まれていた。それによると「gumblar.cn」ではなく「zlkon」というものらしく、既にピークを過ぎたもののようだ。で、このサイトは一度復旧したものの、再感染したらしい。
一昨日見つけた「gumblar.cn」感染サイトはUnderForgeに記載されていなかったので、コメントで作者に知らせておいた。

で、「gumblar.cn」感染サイトに今日アクセスしてみると、トップページから悪意のスクリプトがなくなっていた。一昨日の通知に対応したのかと喜んだのも束の間、他のページは感染したまま。たまたまトップページの内容を更新しただけだったようだ。

UnderForgeの作者が書いているが、親切に感染サイト側に通知しても対応しないらしい。感染サイト管理者がなぜすぐに対応しないのか、理解に苦しむ。
>アダルトサイト以外は警報メール送信してるんだけどなぁ・・（涙） from @gmail.com
>2009.05.04 AM08:00AM現在、１個も閉鎖、悪意コードの削除を行ったトコが無い・・・

ただ、この作者はフリーメールを使っているようなので、フィルタリングで届いていない可能性もある（自分の場合は「samarevo.com」のものなので、届いている可能性は高いと思うのだが）。
今日出くわしたエステサロンのサイトは洗練されたデザインで好印象なのだが、残念だ。

と、ここで記事を終わろうとしたのだが、「gumblar.cn」感染サイトの再感染を確認した。トップページも感染していて、前回とはスクリプトが変わっていた。同時に、他のページも新しいスクリプトに変わっていた。
タイムスタンプを変えずにページを書き換えることはできないようなので、WWW巡回ソフトで自身のサロンリンク集や「‘さまれぼ！’専用サイト samarevo.com」もチェックすることにした。

（補足）
感染サイトを報告するためのウィルス感染サイト報告ページを作成しました。詳しくはこちらの記事をご覧ください。