http://www12.atwiki.jp/digirovirus/ デジロウイルスまとめwiki ja 2009-07-25T02:23:47+09:00 http://www12.atwiki.jp/digirovirus/pages/1.html **■VALUE DOMAIN/XREA/AccessAnalyzer 不正改竄問題の流れ ※自動リンクが効かないように、 URLに〆を挿入しています。 07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される（[[第1報>http://pc11.2ch.net/test/read.cgi/hosting/1239851317/989]]・[[改竄を確認>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/29]]） 　　　ログイン画面　(A) ttp://www.value-domain〆.com/login.php　は 　　　(B)　ttp://1856317799〆:888/s.js　を呼び出している 　　　(C)　ttp://110.165.41.103〆:888/dir/m.htm　を呼び出している 　　　(D)　ttp://110.135.41.103〆/dir/show.php　を呼び出している 　↓ 07/06　魚拓が取得される 　　　　ttp://s03.megalodon.jp/2009-0706-1843-51/https://〆www.value-domain.com/login.php 　↓ 07/06　[[(C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/93-103]] 　↓ 07/07　[[(A)のlogin.phpから不正なjsコードが削除される>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/6]] 　　　(VD側が削除したのか、不正アクセス元が削除したのかは不明) 　↓ 07/07　MSからアドバイザリ、IPAからアナウンスが出る 　　　　http://www.microsoft.com/japan/technet/security/advisory/972890.mspx 　　　　http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html 　↓ 07/07　[[VDにこの件に関して問い合わせを行ったところ「改竄は確認できませんでした。」との返答がある>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/464]] 　↓ 07/07　-[[以前xreaで発生した改竄との関連が指摘される>http://sb.xrea.com/showthread.php?p=84465]] 　↓ 07/08　[[AccessAnalyzerのトップページ・管理ページ全般に不正なJSが挿入される改竄が発見される>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/511]] 　　　ログイン画面　(E) ttp://ax.xrea.〆com/login.php （2台のサーバでラウンドロビンしているが、改竄されたのは219.101.229.188のほう）は 　　　(F)　ttp://1856317799〆:888/jp.js　を呼び出している 　　　(G)　ttp://0x6EA52967〆:888/dir2/show.php　を呼び出している 　　　(H)　ttp://0x6EA52967〆:888/dir2/go.jpg　を呼び出している 　　　(I)　ttp://1856317799〆:888/counter.htm　を呼び出している 　↓ 07/10　[[マルウエアが設置されていた 110.135.41.103（= 1856317799 = 0x6EA52967） のサーバーが凍結される。>http://pc11.2ch.net/test/read.cgi/hosting/1247126261/271]] 　↓ 07/13　大手プロバイダSo-netの「So-net セキュリティ通信」で、[[名指しで改竄＆放置を指摘される>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946]] 　↓ 07/21　問題のJSが削除される 　↓ 07/21 8:25頃　[[AccessAnalyzer改竄についてのリリースが出る>http://ax.xrea.com/index.php?action=200907]] 07/21 16:25頃　[[VALUE DOMAIN改竄についてのリリースが出る>http://www.value-domain.com/info.php?action=press&no=20090721-1]] ---- **不正なJSのコード &ref(code.gif) **マルウェア分析サイトによるVDログインページの詳細 http://wepawet.cs.ucsb.edu/view.php?hash=c060c4c4a3c128706441effa96466c15&t=1246871592&type=js **不正コードVDログインページの魚拓 http://s03.megalodon.jp/2009-0706-1843-51/https://www.value-domain.com/login.php ※注意　この魚拓は不正なコードが仕組まれたままアクセス可能となっています。 アクセスする場合は必ずJavaScriptをOFFにしてください。 ---- **改竄されていたページ ttp://www.value-domain.com/login.php ttp://ax.xrea.com/support.php ttp://ax.xrea.com/logout.php ttp://ax.xrea.com/faq.php ttp://ax.xrea.com/rules.php ttp://ax.xrea.com/signup.php ttp://ax.xrea.com/ (= ttp://ax.xrea.com/index.php) ttp://ax.xrea.com/login.php ---- **&font(red){★ 感染予防} ・バリュドメ、アクアナのサイト全てにおいてリンクを踏まない ・アクアナなどの解析スクリプトはすべて外す（二次被害防止にもなる ・OS、ブラウザ、プラグインなどを最新版にする ・セキュリティソフトも最新版に対応する（現にカスペルやノートンは反応して防いでくれている ・VISTAの場合はユーザーアカウント制御をオン（デフォではオンになってる）にして意味不明なプログラムは実行させない ・ルナスケやプニル、2chビューアの一部などIEをベースにしてるブラウザも警戒がいる ・感染が疑わしくばネット切断の上でクリーンインスコ（リカバリ）推奨 ---- **ウイルスに感染する可能性のあった期間と環境 ２ちゃんねるのスレにおける第一発見者の時系列から以下の通りになります。 ･７月６日４時から７月６日24時の間に、WindowsXP＋IE6,7の環境でバリュードメインのログイン画面にアクセスした人が、ウイルスに感染している可能性があります。 ･７月７日10時から７月10日15時の間に、WindowsXP＋IE6,7の環境でアクセスアナライザにアクセスした人が、ウイルスに感染している可能性があります。 **デジロウイルスに感染しているかのチェック方法 感染に心当たりのある方は、システムフォルダ内の以下の場所を確認してください Windows 2000 SP4: 　C:\Winnt\System32 Windows XP, Vista: 　C:\Windows\System32 チェックするファイル： carrsv.dll diskcheck.exe flashaegh.dll mnpse.dll ntst.dll これらのファイルが存在した場合、速やかにウィルスチェックを行ってください。デジロウィルスに感染した可能性が極めて高いと思われます。 参照: [[UnderForge of Lack 人事ですかそうですか(Part2)>http://www3.atword.jp/gnome/2009/07/21/it-seems-i-am-not-guilty-eh/]] 上記ブログではより詳細な感染対象環境も示されている。 ---- **■関連スレッド -[[VALUE DOMAINってどうよ？ part34>http://pc11.2ch.net/test/read.cgi/hosting/1247126261/]] -[[VALUE DOMAINってどうよ？ part35>http://pc11.2ch.net/test/read.cgi/hosting/1247663722/]] -[[xrea.com part146>http://pc11.2ch.net/test/read.cgi/hosting/1246931972/]] -[[CORESERVER.JP Part17>http://pc11.2ch.net/test/read.cgi/hosting/1239897758/]] -[[【アクセス解析】AccessAnalyzer.com Part5【XREA】>http://pc11.2ch.net/test/read.cgi/hp/1234096306/]] -[[【アクセス解析】AccessAnalyzer.com Part6【XREA】>http://pc11.2ch.net/test/read.cgi/hp/1247279199/]] **■デジロック改竄問題に関するサイト -[[Slashdot.jp IEをターゲットにしたゼロデイ攻撃が発生中>http://slashdot.jp/firehose.pl?op=view&id=117594]] -[[リネージュ資料室>http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN]] -[[セキュリティホールMEMO>http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090707_tuiki]] -[[so-netセキュリティ通信　国内のサイト複数が改ざん>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946]] -[[UnderForge of Lack 人事ですかそうですか(Part2) (デジロウイルスについて)>http://www3.atword.jp/gnome/2009/07/21/it-seems-i-am-not-guilty-eh/]] **■配布されたウイルスに関するサイト -[[マイクロソフト セキュリティ アドバイザリ (972890)>http://www.microsoft.com/japan/technet/security/advisory/972890.mspx]] -[[トレンドマイクロ JS_DLOADER.BD >http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_DLOADER.BD&VSect=T]] -[[マカフィー ウイルス情報 Exploit-MSDirectShow.b>http://www.mcafee.com/japan/security/virE.asp?v=Exploit-MSDirectShow.b]] -[[シマンテック　Downloader.Fostrem>http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-070605-3347-99&tabid=1]] ---- 合計：&counter() 今日：&counter(today) 昨日：&counter(yesterday) 2009-07-25T02:23:47+09:00 http://www12.atwiki.jp/digirovirus/pages/13.html **■バリュードメイン デジロックは当初ウイルス混入について否定を繰り返していたものの、問題発生から２週間後の７月21日ついに改竄の事実を認めることとなった。 今回の騒動についてバリュードメインとアクセスアナライザーのサイト上で下記の通り発表がされた。 ***ログインページにおける不正表示について http://www.value-domain.com/info.php?action=press&no=20090721-1 お客様　各位 平素はバリュードメインをご利用いただき誠にありがとうございます。 下記内容で、ログインページにおきまして不正表示がございました。 ○症状 7月6日、ログインページにて、ウィルスダウンロードを誘導するページへのリ ンクが設置されていました。ウィルスについては下記が参考になります。 Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について 　http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html ○事実・経緯 7月6日朝に、新しい機能に対応するため本番用ウェブサーバーのメンテナンス 作業を行いました。その際の流れは、下記の通りとなります。 通常、メンテナンス時は、普段は停止中である代替用ウェブサーバー(202.222. 31.78)をアクセス可能にし、本番用ウェブサーバー(202.222.31.77)からウェブ ページをコピーし、DNSの切り替えと、データベースサーバー側での受け入れ認 証設定の変更を行い、本番用サーバーの作業をします。また、本番用サーバー がアクセス不能である場合は、割り当てIPを即座に切り替えて、障害に対応す るようになっています。メンテナンス終了時、また、障害解消時に、本番用サ ーバーに戻し、運用を再開します。 そのメンテナンス時に利用した代替用ウェブサーバーにて、不正改ざんページ が設置されておりました。 同日夜、メンテナンスが終了し、および、DNSの切り替えが反映されると共に 症状は解消されました。 ○原因・調査結果 代替ウェブサーバーでの書き換えについて、本番用、代替サーバー内、および DBサーバー等のログ等の調査を行いました。システム的な乗っ取りは確認でき ず、手動アップロードであると確認しました。また、本番用のログインページ の表示はプログラムで生成していますが、不正ページはプログラムで動作する 形ではなく、静的なHTMLファイルが書かれているページ・HTMLテンプレートで した。 代替サーバー自体の運用に問題あり、ウェブサーバーを停止し、対策を行いま した。 根本的な解決策ではありませんが、少なくとも症状を回避するには、代替サー バーに本番用サーバーの最新データを強制上書きして運用すべきでした。 ログインページ自体の開発、変更をしばらく行っていなかったため、代替サー バーの不正なページファイルの変更時間の方が、本番用サーバーよりも新しか ったため、上書きされずに不正なファイルが残り、表示されてしまいました。 復旧後の調査でございますが、代替サーバーでの調査では、ログインページ以 外の動作はなく、その他の被害はございませんでした。また、DBサーバーへの アクセス等も調査を行いましたが、パケットでのフィルタ、ソフトウェアでの フィルタ等を行っているため、アクセスはございませんでした。 ブラウザIEで、ログアウトされている状態で、新しくログインページを開いた お客様が閲覧された可能性があると存じますが、ログ、最終ログイン時間等の 判断で、約90アカウントと判断しております。6日朝～夜に新しくログインし た履歴のあるお客様のアカウントにおきましては、注意表示をするようにして おります。また、ログインユーザ名が特定できたお客様には、個別にお詫び と確認のメール連絡を差し上げています。 対応に関する不手際、時間など、問題自体以外にも、多々問題があり、大変申 し訳なく思っております。特に遅くなった情報提供、アナウンスについての体 制、姿勢を深く反省し、今後の改善につなげて参りたいと存じます。 この度は、ご利用の皆様には、ご迷惑、ご心配をおかけし、大変申し訳ござい ませんでした。 今後ともよろしくお願い申し上げます。 以上です。 ---- **■アクセスアナライザー ***解析サーバーの不具合について(2009/07/21) http://ax.xrea.com/index.php?action=200907 お客様　各位 平素はアクセスアナライザーをご利用いただき誠にありがとうございます。 下記内容で、アクセス解析用のサーバーにおきまして不具合がございました。 ○内容 分散しておりますデータ解析用のサーバーの2番目のサーバーにおいて、7月7日 頃から改ざんされ、不正なページ（10日頃までウィルスが自動ダウンロードさ れていた）へリンクするスクリプトが設置されておりました。 21日までにサーバーを交換し最新版のソフトウェア、設定に切り替え、運用を 再開しています。 ○原因・経緯 サーバー、ソフトウェア共に、外部に構築依頼しておりましたが、昨年、同様 の問題（ホームページ編集用のパスワードが受託者以外に漏れていた問題）が あった以後から、管理を引き継いでおりました。正直に申し上げますと、委託 契約を解除し、そのままシステムを引き継ぎましたが、1番目の解析用サーバー は、昨年、自社管理のシステムに移して運用中でございましたが、2番目のサー バーについては、直接の問題対象外であったということもあり、システム移行 作業を怠り、前システムのまま、つまり、類似の問題が解消されない状態で運 用されておりました。 この度、2番目、合わせて3番目のサーバーについて自社システムに切り替え、 運用を再開しました。 対応に関する不手際、対応時間など、問題自体以外にも、多々問題があり、大 変申し訳なく思っております。本件について猛省し、再度、セキュリティ対策 を講じたいと存じます。 この度は、ご迷惑、ご心配をおかけし、大変申し訳ございませんでした。 今後ともよろしくお願い申し上げます。 以上です。 2009/07/21 06:00 AM 2009-07-25T01:33:49+09:00 http://www12.atwiki.jp/digirovirus/pages/2.html **メニュー -[[トップページ]] -[[デジロックからの返答]] -[[改竄問題についてのアナウンス]] ---- **リンク -[[@wiki>>http://atwiki.jp]] -[[@wikiご利用ガイド>>http://atwiki.jp/guide/]] // リンクを張るには "[" 2つで文字列を括ります。 // ">" の左側に文字、右側にURLを記述するとリンクになります //**更新履歴 //#recent(20) &link_editmenu(text=ここを編集) 2009-07-25T01:20:50+09:00 http://www12.atwiki.jp/digirovirus/pages/12.html 461 名前：名無しさん＠お腹いっぱい。[] 投稿日：2009/07/08(水) 14:52:00 0 コンタクトフォームで聞いたが、 お世話になっております。 お問い合わせについてですが、先ほど問題無くログイン可能でございました。 セキュリティソフトなどの警告も無く、現状ではユーザー様から連絡いただいた症状を確認できませんでした。 ご確認の上、適宜ご作業いただければ幸いです。 「現状ではユーザー様から連絡いただいた症状を確認できませんでした。」 と言う言葉を信じるなら、ガゼじゃないのか？ 妬みを持つユーザーから ---- 464 名前：460[sage] 投稿日：2009/07/08(水) 15:01:29 0 サポートに質問してみたら速攻レスきて驚いた・・・ [2009-07-08 14:51:02] サポートからメッセージが追加されました。 お世話になっております。 お問い合わせについてですが、弊社にてサポート業務などにおいて数分単位でログインページは常時確認しております が、ユーザー様よりご連絡いただいている「改竄」は確認できませんでした。 ご確認の上、適宜ご作業いただければ幸いです。 ---- 727 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/07/08(水) 21:59:09 0 俺が報告したらこういう返事がきたよ [2009-07-08 19:27:43] サポートからメッセージが追加されました。 ご連絡、確認させていただきました。 いただきました件につきましては、カスタマーサポート(受付部門)では対応できませんため、担当部門に申し送りさせていただきますが、現在は、私どもカスタマーサポート(受付部門)に対して、 　●弊社・担当部門からの報告が入っていない という状況です。 そのため、本件につきましては、真偽確認の上、そのような状況にございました場合は、担当部門判断においてご案内させていただきます。 但し、あくまでも、私どもは申し送りを行なうところまでの対応になりますことから、 　●実際に障害が発生していた場合　→　障害ページなどでの一括連絡 　●事実確認できない場合　→　連絡は行なわない という形のご対応になる場合もございますことを、あらかじめご了承いただきますようお願い申し上げます。 ---- 787 名前：Name_Not_Found[sage] 投稿日：2009/07/09(木) 22:16:00 ID:??? 報告した人のサポートBBSでの書き込み sb.xrea.com/showthread.php?t=5609&page=25 サポートの方には、連絡はしてますが・・・　普通であれば、閉鎖対応すると思います。 相変わらず　変わらないですよね・・・ カスタマーサポート(受付部門)では対応できませんため、担当部門に申し送りさせていただきます と連絡来て・・・　同じ内容に・・・ そのため、本件につきましては、真偽確認の上、そのような状況にございました場合は、担当部門判断においてご案内させていただきます。 但し、あくまでも、私どもは申し送りを行なうところまでの対応になりますことから、 　●実際に障害が発生していた場合　→　障害ページなどでの一括連絡 　●事実確認できない場合　→　連絡は行なわない という形のご対応になる場合もございますことを、あらかじめご了承いただきますようお願い申し上げます。 と書かれています。真偽を確かめて、かつ　対応を待つしかないのでしょう！！ 2009-07-11T10:59:36+09:00 http://www12.atwiki.jp/digirovirus/pages/3.html **更新履歴 #recent(20) &link_editmenu2(text=ここを編集) 2009-07-11T09:49:14+09:00 http://www12.atwiki.jp/digirovirus/pages/4.html * ニュース @wikiのwikiモードでは #news(興味のある単語) と入力することで、あるキーワードに関連するニュース一覧を表示することができます 詳しくはこちらをご覧ください。 ＝＞http://atwiki.jp/guide/17_174_ja.html ----- たとえば、#news(wiki)と入力すると以下のように表示されます。 #news(wiki) 2009-07-11T09:49:14+09:00 http://www12.atwiki.jp/digirovirus/pages/5.html * まとめサイト作成支援ツールについて @wikiには[[まとめサイト作成を支援するツール>>http://atwiki.jp/matome/]]があります。 また、 #matome_list と入力することで、注目の掲示板が一覧表示されます。 利用例）#matome_listと入力すると下記のように表示されます #matome_list 2009-07-11T09:49:14+09:00 http://www12.atwiki.jp/digirovirus/pages/6.html * 更新履歴 @wikiのwikiモードでは #recent(数字) と入力することで、wikiのページ更新履歴を表示することができます。 詳しくはこちらをご覧ください。 ＝＞http://atwiki.jp/guide/17_117_ja.html ----- たとえば、#recent(20)と入力すると以下のように表示されます。 #recent(20) 2009-07-11T09:49:14+09:00 http://www12.atwiki.jp/digirovirus/pages/7.html * アーカイブ @wikiのwikiモードでは #archive_log() と入力することで、特定のウェブページを保存しておくことができます。 詳しくはこちらをご覧ください。 ＝＞http://atwiki.jp/guide/25_171_ja.html ----- たとえば、#archive_log()と入力すると以下のように表示されます。 保存したいURLとサイト名を入力して"アーカイブログ"をクリックしてみよう #archive_log() 2009-07-11T09:49:14+09:00 http://www12.atwiki.jp/digirovirus/pages/8.html * 動画(youtube) @wikiのwikiモードでは #video(動画のURL) と入力することで、動画を貼り付けることが出来ます。 詳しくはこちらをご覧ください。 ＝＞http://atwiki.jp/guide/17_209_ja.html また動画のURLはYoutubeのURLをご利用ください。 ＝＞http://www.youtube.com/ ----- たとえば、#video(http://youtube.com/watch?v=kTV1CcS53JQ)と入力すると以下のように表示されます。 #video(http://youtube.com/watch?v=kTV1CcS53JQ) 2009-07-11T09:49:14+09:00