一気に6サイトもウィルス感染発覚！ご注意を

gumblar騒ぎのあった5月以降、ほぼリンク切れのないサロン情報リスト（サロンリンク集）の登録サロンサイトのウィルス感染チェックを始めたのだが、最後に感染の見られた8月以降も毎日続けている。特に、ウィルス感染サイト報告ページに掲載されているサイトについては、ページが更新されるたびにソースチェックを行ってきた。

その日、感染歴のあるサイトが更新されたのでいつものようにソースを見ていたのだが、見慣れないサイトのスクリプトファイルに気付いた。地図表示やアクセスカウンタなどで外部のスクリプトファイルが呼び出されることはよくあるが、「restaurantpark****.com」というおよそネットとは無関係と思われるドメインのものだ。すぐに問題のスクリプトをダウンロードすると、お馴染みのものだった。

サイトが不正に書き換えられたのだろうと思って他のサイトもチェックしてみたところ、新たに3つのサイト改竄が見つかった。いずれも難読化されずにスクリプトを呼び出すもので、ドメインやスクリプトファイル名は全て異なる。最も早いページは、発見の二日前に書き換えられていた。難読化されていなかったため、かえって見落としてしまったようだ。
この手の問題を含めセキュリティ情報をほぼ毎日提供しているUnderForge of Lack管理人G`nome氏には以前お世話になったのだが、今回も連絡しておいた。

その後、感染歴のないサイトが感染している可能性に気付いた。これら一般のサイトに対しても難読化についてはチェックしていたが、それ以外のケースはチェックしていない。すぐに検索をかけると2つのサイトが見つかった。これらも不正なリンク先のドメインやスクリプトファイル名は特異なもので、スクリプトはやはり難読化されたものだった。
状況はかなり深刻だと考えられるのでこの2つのサイトをすぐにリストから削除し、ウィルス感染サイト報告ページへの掲載準備を始めた。その最中、UnderForge of Lackのページでの紹介があったので、急いで準備を進めて公開した。
公開後、感染サイト管理者が感染に気付かないまま内容変更のためページを更新したのだが、数時間後には再感染してしまった。以前のgumblarでは数日間隔でサイト全体を書き換えていたのだが、今回は改竄したページの更新日時でもチェックしているのか、変更されたページだけが書き換えられている。いちいち手作業で行っているとは思えないので、システム的にかなり進んだ感じだ

以上がサイト改竄発見から公開までの経緯だが、リストで把握している2,000程度のサイトから6つの感染サイトが出ている。サイト閲覧にはくれぐれもご注意いただきたい。zlkon/gumblarお役立ち情報もどうぞ。尚、上記画像のスクリプトを解析すると次のようになる。