@wikiメニュー編集表示ツールヘルプブックマーク登録RSS登録
このウィキに参加ログイン
新規ページ作成
すでにあるページをコピーして新規ページを作成 スレッドフロート型掲示板から引用して新規ページ作成(α版) ブログの内容から引用して新規ページ作成(α版) ファイルをアップロードして新規ページ作成(α版) 他のホームページから引用して新規ページ作成(α版)
[PR] 無料ホームページ @PAGES [PR] オークション@pedia [PR] 2ch型無料レンタル掲示板 @chs
@wikiで新規wikiを作成
このページを編集 このページを編集(メニュー非表示編集;α) このページをコピーして新規ページを作成 このページのページ名を変更 このページの編集モードを変更 このページの閲覧/編集権限の変更
このページにファイルをアップロード
このウィキにファイルをアップロード(FTP機能/管理者のみ利用可)
メニューを編集(メニュー部分は非表示で編集) 右メニューを編集(メニュー部分は非表示で編集)
このページの最新版変更点 このページの編集履歴(バックアップ) このページへのリンク元 このページへのトラックバック
このページをPDFで表示(α版)
関連ページ(α版) 関連ホットワード(α版)
このwikiのページ一覧 編集履歴(バックアップ)のあるページ一覧 このwikiのタグ一覧 このwikiの更新情報RSSこのwikiの更新情報RSS このwikiの新着ページRSSこのwikiの新着ページRSS
このwiki内を検索 @wikiパーツ▶  @wiki便利ツール▶  このwikiの管理者に連絡
@wiki助け合いコミュニティ @wiki助け合い掲示板
wiki(ウィキ)って何?
初心者ガイド
ご利用ガイド 良くある質問 プラグイン一覧 編集モードの違いについて 不具合や障害を見つけたら 管理・設定マニュアル
はてなブックマークする FC2ブックマークに追加 Livedoor クリップに追加 Yahoo!ブックマークに登録 del.icio.usに追加
はてなRSSに追加 livedoor ReaderにRSSフィードを登録 Yahoo!にRSSフィードを登録 BloglinesにRSSフィードを登録 NewsGator OnlineにRSSフィードを登録 iGoogleにRSSを追加
@wikiパーツ:あなたのサイトにWikiデータを簡単表示!
最近更新したページの一覧を表示する 最近作成したページの一覧を表示する このwiki内を検索するフォームを表示する このwikiのタグクラウドを表示する 自動リンク辞書を利用する
@wiki便利ツール:トップページ
まとめサイト作成支援ツール RSSかんたん作成 興味キーワードをチェック!!(RSSナビ) いろんなblogのRSSかんたん作成ページ アマゾン商品検索(簡単アフィリエイト) wikiに株式情報(日本)を表示 wikiに株式情報(中国)を表示 かんたんHTML直接入力 Q&Aサイトかんたん連携作成 wikiに為替情報を表示 はてなアンテナと簡単連携
デジロウイルスまとめwiki

メニュー



リンク





トップページ

■VALUE DOMAIN/XREA/AccessAnalyzer 不正改竄問題の流れ

※自動リンクが効かないように、 URLに〆を挿入しています。

07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される(第1報改竄を確認
   ログイン画面 (A) ttp://www.value-domain〆.com/login.php は
   (B) ttp://1856317799〆:888/s.js を呼び出している
   (C) ttp://110.165.41.103〆:888/dir/m.htm を呼び出している
   (D) ttp://110.135.41.103〆/dir/show.php を呼び出している
 ↓
07/06 魚拓が取得される
    ttp://s03.megalodon.jp/2009-0706-1843-51/https://〆www.value-domain.com/login.php
 ↓
07/06 (C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた
 ↓
07/07 (A)のlogin.phpから不正なjsコードが削除される
   (VD側が削除したのか、不正アクセス元が削除したのかは不明)
 ↓
07/07 MSからアドバイザリ、IPAからアナウンスが出る
    http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
    http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
 ↓
07/07 VDにこの件に関して問い合わせを行ったところ「改竄は確認できませんでした。」との返答がある
 ↓
07/07 -以前xreaで発生した改竄との関連が指摘される
 ↓
07/08 AccessAnalyzerのトップページ・管理ページ全般に不正なJSが挿入される改竄が発見される
   ログイン画面 (E) ttp://ax.xrea.〆com/login.php (2台のサーバでラウンドロビンしているが、改竄されたのは219.101.229.188のほう)は
   (F) ttp://1856317799〆:888/jp.js を呼び出している
   (G) ttp://0x6EA52967〆:888/dir2/show.php を呼び出している
   (H) ttp://0x6EA52967〆:888/dir2/go.jpg を呼び出している
   (I) ttp://1856317799〆:888/counter.htm を呼び出している
 ↓
07/10 マルウエアが設置されていた 110.135.41.103(= 1856317799 = 0x6EA52967) のサーバーが凍結される。
 ↓
07/13 大手プロバイダSo-netの「So-net セキュリティ通信」で、名指しで改竄&放置を指摘される
 ↓
07/21 問題のJSが削除される
 ↓
07/21 8:25頃 AccessAnalyzer改竄についてのリリースが出る
07/21 16:25頃 VALUE DOMAIN改竄についてのリリースが出る

不正なJSのコード


マルウェア分析サイトによるVDログインページの詳細


不正コードVDログインページの魚拓


※注意 この魚拓は不正なコードが仕組まれたままアクセス可能となっています。
アクセスする場合は必ずJavaScriptをOFFにしてください。

現在改竄されているページ


※注意 現在アクセスアナライザにウイルスを配布する不正なJSコードが埋め込まれています。
    実際にウイルスが置かれているサーバーは7月10日に凍結されたため、現状感染の恐れはありませんがアクセスには十分ご注意ください。

ttp://ax.xrea.com/support.php
ttp://ax.xrea.com/logout.php
ttp://ax.xrea.com/faq.php
ttp://ax.xrea.com/rules.php
ttp://ax.xrea.com/signup.php
ttp://ax.xrea.com/ (= ttp://ax.xrea.com/index.php)
ttp://ax.xrea.com/login.php


★ 感染予防

  • バリュドメ、アクアナのサイト全てにおいてリンクを踏まない
  • アクアナなどの解析スクリプトはすべて外す(二次被害防止にもなる
  • OS、ブラウザ、プラグインなどを最新版にする
  • セキュリティソフトも最新版に対応する(現にカスペルやノートンは反応して防いでくれている
  • VISTAの場合はユーザーアカウント制御をオン(デフォではオンになってる)にして意味不明なプログラムは実行させない
  • ルナスケやプニル、2chビューアの一部などIEをベースにしてるブラウザも警戒がいる
  • 感染が疑わしくばネット切断の上でクリーンインスコ(リカバリ)推奨

ウイルスに感染する可能性のあった期間と環境


2ちゃんねるのスレにおける第一発見者の時系列から以下の通りになります。

・7月6日4時から7月6日24時の間に、WindowsXP+IE6,7の環境でバリュードメインのログイン画面にアクセスした人が、ウイルスに感染している可能性があります。
・7月7日10時から7月10日15時の間に、WindowsXP+IE6,7の環境でアクセスアナライザにアクセスした人が、ウイルスに感染している可能性があります。

■関連スレッド


■デジロック改竄問題に関するサイト


■配布されたウイルスに関するサイト


合計: 6371
今日: 112
昨日: 393
添付ファイル

更新履歴

2009-07-22

2009-07-11



@wiki - 無料レンタルウィキサービス | プライバシーポリシー| 関連ページ| 関連ホットワード| リンク元| トラックバック