**■VALUE DOMAIN/XREA/AccessAnalyzer 不正改竄問題の流れ ※自動リンクが効かないように、 URLに〆を挿入しています。 07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される([[第1報>http://pc11.2ch.net/test/read.cgi/hosting/1239851317/989]]・[[改竄を確認>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/29]]) ログイン画面 (A) ttp://www.value-domain〆.com/login.php は (B) ttp://1856317799〆:888/s.js を呼び出している (C) ttp://110.165.41.103〆:888/dir/m.htm を呼び出している (D) ttp://110.135.41.103〆/dir/show.php を呼び出している ↓ 07/06 魚拓が取得される ttp://s03.megalodon.jp/2009-0706-1843-51/https://〆www.value-domain.com/login.php ↓ 07/06 [[(C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/93-103]] ↓ 07/07 [[(A)のlogin.phpから不正なjsコードが削除される>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/6]] (VD側が削除したのか、不正アクセス元が削除したのかは不明) ↓ 07/07 MSからアドバイザリ、IPAからアナウンスが出る http://www.microsoft.com/japan/technet/security/advisory/972890.mspx http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html ↓ 07/07 [[VDにこの件に関して問い合わせを行ったところ「改竄は確認できませんでした。」との返答がある>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/464]] ↓ 07/07 -[[以前xreaで発生した改竄との関連が指摘される>http://sb.xrea.com/showthread.php?p=84465]] ↓ 07/08 [[AccessAnalyzerのトップページ・管理ページ全般に不正なJSが挿入される改竄が発見される>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/511]] ログイン画面 (E) ttp://ax.xrea.〆com/login.php (2台のサーバでラウンドロビンしているが、改竄されたのは219.101.229.188のほう)は (F) ttp://1856317799〆:888/jp.js を呼び出している (G) ttp://0x6EA52967〆:888/dir2/show.php を呼び出している (H) ttp://0x6EA52967〆:888/dir2/go.jpg を呼び出している (I) ttp://1856317799〆:888/counter.htm を呼び出している ↓ 07/10 [[マルウエアが設置されていた 110.135.41.103(= 1856317799 = 0x6EA52967) のサーバーが凍結される。>http://pc11.2ch.net/test/read.cgi/hosting/1247126261/271]] ↓ 07/13 大手プロバイダSo-netの「So-net セキュリティ通信」で、[[名指しで改竄&放置を指摘される>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946]] ↓ 07/21 問題のJSが削除される ↓ 07/21 8:25頃 [[AccessAnalyzer改竄についてのリリースが出る>http://ax.xrea.com/index.php?action=200907]] 07/21 16:25頃 [[VALUE DOMAIN改竄についてのリリースが出る>http://www.value-domain.com/info.php?action=press&no=20090721-1]] ---- **不正なJSのコード &ref(code.gif) **マルウェア分析サイトによるVDログインページの詳細 http://wepawet.cs.ucsb.edu/view.php?hash=c060c4c4a3c128706441effa96466c15&t=1246871592&type=js **不正コードVDログインページの魚拓 http://s03.megalodon.jp/2009-0706-1843-51/https://www.value-domain.com/login.php ※注意 この魚拓は不正なコードが仕組まれたままアクセス可能となっています。 アクセスする場合は必ずJavaScriptをOFFにしてください。 ---- **&font(red){現在改竄されているページ} ※注意 現在アクセスアナライザにウイルスを配布する不正なJSコードが埋め込まれています。 実際にウイルスが置かれているサーバーは7月10日に凍結されたため、現状感染の恐れはありませんがアクセスには十分ご注意ください。 ttp://ax.xrea.com/support.php ttp://ax.xrea.com/logout.php ttp://ax.xrea.com/faq.php ttp://ax.xrea.com/rules.php ttp://ax.xrea.com/signup.php ttp://ax.xrea.com/ (= ttp://ax.xrea.com/index.php) ttp://ax.xrea.com/login.php ---- **&font(red){★ 感染予防} ・バリュドメ、アクアナのサイト全てにおいてリンクを踏まない ・アクアナなどの解析スクリプトはすべて外す(二次被害防止にもなる ・OS、ブラウザ、プラグインなどを最新版にする ・セキュリティソフトも最新版に対応する(現にカスペルやノートンは反応して防いでくれている ・VISTAの場合はユーザーアカウント制御をオン(デフォではオンになってる)にして意味不明なプログラムは実行させない ・ルナスケやプニル、2chビューアの一部などIEをベースにしてるブラウザも警戒がいる ・感染が疑わしくばネット切断の上でクリーンインスコ(リカバリ)推奨 ---- ***ウイルスに感染する可能性のあった期間と環境 2ちゃんねるのスレにおける第一発見者の時系列から以下の通りになります。 ・7月6日4時から7月6日24時の間に、WindowsXP+IE6,7の環境でバリュードメインのログイン画面にアクセスした人が、ウイルスに感染している可能性があります。 ・7月7日10時から7月10日15時の間に、WindowsXP+IE6,7の環境でアクセスアナライザにアクセスした人が、ウイルスに感染している可能性があります。 ---- **■関連スレッド -[[VALUE DOMAINってどうよ? part34>http://pc11.2ch.net/test/read.cgi/hosting/1247126261/]] -[[xrea.com part146>http://pc11.2ch.net/test/read.cgi/hosting/1246931972/]] -[[CORESERVER.JP Part17>http://pc11.2ch.net/test/read.cgi/hosting/1239897758/]] -[[【アクセス解析】AccessAnalyzer.com Part5【XREA】>http://pc11.2ch.net/test/read.cgi/hp/1234096306/]] -[[【アクセス解析】AccessAnalyzer.com Part6【XREA】>http://pc11.2ch.net/test/read.cgi/hp/1247279199/]] **■関連サイト -[[Slashdot.jp IEをターゲットにしたゼロデイ攻撃が発生中>http://slashdot.jp/firehose.pl?op=view&id=117594]] -[[リネージュ資料室>http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN]] -[[セキュリティホールMEMO>http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090707_tuiki]] -[[so-netセキュリティ通信 国内のサイト複数が改ざん>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946]] -[[マイクロソフト セキュリティ アドバイザリ (972890)>http://www.microsoft.com/japan/technet/security/advisory/972890.mspx]] -[[トレンドマイクロ JS_DLOADER.BD >http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_DLOADER.BD&VSect=T]] -[[マカフィー ウイルス情報 Exploit-MSDirectShow.b>http://www.mcafee.com/japan/security/virE.asp?v=Exploit-MSDirectShow.b]] -[[シマンテック Downloader.Fostrem>http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-070605-3347-99&tabid=1]] --- 合計:&counter() 今日:&counter(today) 昨日:&counter(yesterday)
下から選んでください:
