「トップページ」の編集履歴(バックアップ)一覧はこちら
「トップページ」(2009/07/25 (土) 02:23:47) の最新版変更点
追加された行は緑色になります。
削除された行は赤色になります。
**■VALUE DOMAIN/XREA/AccessAnalyzer 不正改竄問題の流れ
※自動リンクが効かないように、 URLに〆を挿入しています。
07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される([[第1報>http://pc11.2ch.net/test/read.cgi/hosting/1239851317/989]]・[[改竄を確認>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/29]])
ログイン画面 (A) ttp://www.value-domain〆.com/login.php は
(B) ttp://1856317799〆:888/s.js を呼び出している
(C) ttp://110.165.41.103〆:888/dir/m.htm を呼び出している
(D) ttp://110.135.41.103〆/dir/show.php を呼び出している
↓
07/06 魚拓が取得される
ttp://s03.megalodon.jp/2009-0706-1843-51/https://〆www.value-domain.com/login.php
↓
07/06 [[(C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/93-103]]
↓
07/07 [[(A)のlogin.phpから不正なjsコードが削除される>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/6]]
(VD側が削除したのか、不正アクセス元が削除したのかは不明)
↓
07/07 MSからアドバイザリ、IPAからアナウンスが出る
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
↓
07/07 [[VDにこの件に関して問い合わせを行ったところ「改竄は確認できませんでした。」との返答がある>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/464]]
↓
07/07 -[[以前xreaで発生した改竄との関連が指摘される>http://sb.xrea.com/showthread.php?p=84465]]
↓
07/08 [[AccessAnalyzerのトップページ・管理ページ全般に不正なJSが挿入される改竄が発見される>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/511]]
ログイン画面 (E) ttp://ax.xrea.〆com/login.php (2台のサーバでラウンドロビンしているが、改竄されたのは219.101.229.188のほう)は
(F) ttp://1856317799〆:888/jp.js を呼び出している
(G) ttp://0x6EA52967〆:888/dir2/show.php を呼び出している
(H) ttp://0x6EA52967〆:888/dir2/go.jpg を呼び出している
(I) ttp://1856317799〆:888/counter.htm を呼び出している
↓
07/10 [[マルウエアが設置されていた 110.135.41.103(= 1856317799 = 0x6EA52967) のサーバーが凍結される。>http://pc11.2ch.net/test/read.cgi/hosting/1247126261/271]]
↓
07/13 大手プロバイダSo-netの「So-net セキュリティ通信」で、[[名指しで改竄&放置を指摘される>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946]]
↓
07/21 問題のJSが削除される
↓
07/21 8:25頃 [[AccessAnalyzer改竄についてのリリースが出る>http://ax.xrea.com/index.php?action=200907]]
07/21 16:25頃 [[VALUE DOMAIN改竄についてのリリースが出る>http://www.value-domain.com/info.php?action=press&no=20090721-1]]
----
**不正なJSのコード
&ref(code.gif)
**マルウェア分析サイトによるVDログインページの詳細
http://wepawet.cs.ucsb.edu/view.php?hash=c060c4c4a3c128706441effa96466c15&t=1246871592&type=js
**不正コードVDログインページの魚拓
http://s03.megalodon.jp/2009-0706-1843-51/https://www.value-domain.com/login.php
※注意 この魚拓は不正なコードが仕組まれたままアクセス可能となっています。
アクセスする場合は必ずJavaScriptをOFFにしてください。
----
**改竄されていたページ
ttp://www.value-domain.com/login.php
ttp://ax.xrea.com/support.php
ttp://ax.xrea.com/logout.php
ttp://ax.xrea.com/faq.php
ttp://ax.xrea.com/rules.php
ttp://ax.xrea.com/signup.php
ttp://ax.xrea.com/ (= ttp://ax.xrea.com/index.php)
ttp://ax.xrea.com/login.php
----
**&font(red){★ 感染予防}
・バリュドメ、アクアナのサイト全てにおいてリンクを踏まない
・アクアナなどの解析スクリプトはすべて外す(二次被害防止にもなる
・OS、ブラウザ、プラグインなどを最新版にする
・セキュリティソフトも最新版に対応する(現にカスペルやノートンは反応して防いでくれている
・VISTAの場合はユーザーアカウント制御をオン(デフォではオンになってる)にして意味不明なプログラムは実行させない
・ルナスケやプニル、2chビューアの一部などIEをベースにしてるブラウザも警戒がいる
・感染が疑わしくばネット切断の上でクリーンインスコ(リカバリ)推奨
----
**ウイルスに感染する可能性のあった期間と環境
2ちゃんねるのスレにおける第一発見者の時系列から以下の通りになります。
・7月6日4時から7月6日24時の間に、WindowsXP+IE6,7の環境でバリュードメインのログイン画面にアクセスした人が、ウイルスに感染している可能性があります。
・7月7日10時から7月10日15時の間に、WindowsXP+IE6,7の環境でアクセスアナライザにアクセスした人が、ウイルスに感染している可能性があります。
**デジロウイルスに感染しているかのチェック方法
感染に心当たりのある方は、システムフォルダ内の以下の場所を確認してください
Windows 2000 SP4:
C:\Winnt\System32
Windows XP, Vista:
C:\Windows\System32
チェックするファイル:
carrsv.dll
diskcheck.exe
flashaegh.dll
mnpse.dll
ntst.dll
これらのファイルが存在した場合、速やかにウィルスチェックを行ってください。デジロウィルスに感染した可能性が極めて高いと思われます。
参照: [[UnderForge of Lack 人事ですかそうですか(Part2)>http://www3.atword.jp/gnome/2009/07/21/it-seems-i-am-not-guilty-eh/]]
上記ブログではより詳細な感染対象環境も示されている。
----
**■関連スレッド
-[[VALUE DOMAINってどうよ? part34>http://pc11.2ch.net/test/read.cgi/hosting/1247126261/]]
-[[xrea.com part146>http://pc11.2ch.net/test/read.cgi/hosting/1246931972/]]
-[[CORESERVER.JP Part17>http://pc11.2ch.net/test/read.cgi/hosting/1239897758/]]
-[[【アクセス解析】AccessAnalyzer.com Part5【XREA】>http://pc11.2ch.net/test/read.cgi/hp/1234096306/]]
-[[【アクセス解析】AccessAnalyzer.com Part6【XREA】>http://pc11.2ch.net/test/read.cgi/hp/1247279199/]]
**■デジロック改竄問題に関するサイト
-[[Slashdot.jp IEをターゲットにしたゼロデイ攻撃が発生中>http://slashdot.jp/firehose.pl?op=view&id=117594]]
-[[リネージュ資料室>http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN]]
-[[セキュリティホールMEMO>http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090707_tuiki]]
-[[so-netセキュリティ通信 国内のサイト複数が改ざん>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946]]
-[[UnderForge of Lack 人事ですかそうですか(Part2) (デジロウイルスについて)>http://www3.atword.jp/gnome/2009/07/21/it-seems-i-am-not-guilty-eh/]]
**■配布されたウイルスに関するサイト
-[[マイクロソフト セキュリティ アドバイザリ (972890)>http://www.microsoft.com/japan/technet/security/advisory/972890.mspx]]
-[[トレンドマイクロ JS_DLOADER.BD >http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_DLOADER.BD&VSect=T]]
-[[マカフィー ウイルス情報 Exploit-MSDirectShow.b>http://www.mcafee.com/japan/security/virE.asp?v=Exploit-MSDirectShow.b]]
-[[シマンテック Downloader.Fostrem>http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-070605-3347-99&tabid=1]]
----
合計:&counter()
今日:&counter(today)
昨日:&counter(yesterday)
**■VALUE DOMAIN/XREA/AccessAnalyzer 不正改竄問題の流れ
※自動リンクが効かないように、 URLに〆を挿入しています。
07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される([[第1報>http://pc11.2ch.net/test/read.cgi/hosting/1239851317/989]]・[[改竄を確認>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/29]])
ログイン画面 (A) ttp://www.value-domain〆.com/login.php は
(B) ttp://1856317799〆:888/s.js を呼び出している
(C) ttp://110.165.41.103〆:888/dir/m.htm を呼び出している
(D) ttp://110.135.41.103〆/dir/show.php を呼び出している
↓
07/06 魚拓が取得される
ttp://s03.megalodon.jp/2009-0706-1843-51/https://〆www.value-domain.com/login.php
↓
07/06 [[(C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/93-103]]
↓
07/07 [[(A)のlogin.phpから不正なjsコードが削除される>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/6]]
(VD側が削除したのか、不正アクセス元が削除したのかは不明)
↓
07/07 MSからアドバイザリ、IPAからアナウンスが出る
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
↓
07/07 [[VDにこの件に関して問い合わせを行ったところ「改竄は確認できませんでした。」との返答がある>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/464]]
↓
07/07 -[[以前xreaで発生した改竄との関連が指摘される>http://sb.xrea.com/showthread.php?p=84465]]
↓
07/08 [[AccessAnalyzerのトップページ・管理ページ全般に不正なJSが挿入される改竄が発見される>http://pc11.2ch.net/test/read.cgi/hosting/1246828727/511]]
ログイン画面 (E) ttp://ax.xrea.〆com/login.php (2台のサーバでラウンドロビンしているが、改竄されたのは219.101.229.188のほう)は
(F) ttp://1856317799〆:888/jp.js を呼び出している
(G) ttp://0x6EA52967〆:888/dir2/show.php を呼び出している
(H) ttp://0x6EA52967〆:888/dir2/go.jpg を呼び出している
(I) ttp://1856317799〆:888/counter.htm を呼び出している
↓
07/10 [[マルウエアが設置されていた 110.135.41.103(= 1856317799 = 0x6EA52967) のサーバーが凍結される。>http://pc11.2ch.net/test/read.cgi/hosting/1247126261/271]]
↓
07/13 大手プロバイダSo-netの「So-net セキュリティ通信」で、[[名指しで改竄&放置を指摘される>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946]]
↓
07/21 問題のJSが削除される
↓
07/21 8:25頃 [[AccessAnalyzer改竄についてのリリースが出る>http://ax.xrea.com/index.php?action=200907]]
07/21 16:25頃 [[VALUE DOMAIN改竄についてのリリースが出る>http://www.value-domain.com/info.php?action=press&no=20090721-1]]
----
**不正なJSのコード
&ref(code.gif)
**マルウェア分析サイトによるVDログインページの詳細
http://wepawet.cs.ucsb.edu/view.php?hash=c060c4c4a3c128706441effa96466c15&t=1246871592&type=js
**不正コードVDログインページの魚拓
http://s03.megalodon.jp/2009-0706-1843-51/https://www.value-domain.com/login.php
※注意 この魚拓は不正なコードが仕組まれたままアクセス可能となっています。
アクセスする場合は必ずJavaScriptをOFFにしてください。
----
**改竄されていたページ
ttp://www.value-domain.com/login.php
ttp://ax.xrea.com/support.php
ttp://ax.xrea.com/logout.php
ttp://ax.xrea.com/faq.php
ttp://ax.xrea.com/rules.php
ttp://ax.xrea.com/signup.php
ttp://ax.xrea.com/ (= ttp://ax.xrea.com/index.php)
ttp://ax.xrea.com/login.php
----
**&font(red){★ 感染予防}
・バリュドメ、アクアナのサイト全てにおいてリンクを踏まない
・アクアナなどの解析スクリプトはすべて外す(二次被害防止にもなる
・OS、ブラウザ、プラグインなどを最新版にする
・セキュリティソフトも最新版に対応する(現にカスペルやノートンは反応して防いでくれている
・VISTAの場合はユーザーアカウント制御をオン(デフォではオンになってる)にして意味不明なプログラムは実行させない
・ルナスケやプニル、2chビューアの一部などIEをベースにしてるブラウザも警戒がいる
・感染が疑わしくばネット切断の上でクリーンインスコ(リカバリ)推奨
----
**ウイルスに感染する可能性のあった期間と環境
2ちゃんねるのスレにおける第一発見者の時系列から以下の通りになります。
・7月6日4時から7月6日24時の間に、WindowsXP+IE6,7の環境でバリュードメインのログイン画面にアクセスした人が、ウイルスに感染している可能性があります。
・7月7日10時から7月10日15時の間に、WindowsXP+IE6,7の環境でアクセスアナライザにアクセスした人が、ウイルスに感染している可能性があります。
**デジロウイルスに感染しているかのチェック方法
感染に心当たりのある方は、システムフォルダ内の以下の場所を確認してください
Windows 2000 SP4:
C:\Winnt\System32
Windows XP, Vista:
C:\Windows\System32
チェックするファイル:
carrsv.dll
diskcheck.exe
flashaegh.dll
mnpse.dll
ntst.dll
これらのファイルが存在した場合、速やかにウィルスチェックを行ってください。デジロウィルスに感染した可能性が極めて高いと思われます。
参照: [[UnderForge of Lack 人事ですかそうですか(Part2)>http://www3.atword.jp/gnome/2009/07/21/it-seems-i-am-not-guilty-eh/]]
上記ブログではより詳細な感染対象環境も示されている。
----
**■関連スレッド
-[[VALUE DOMAINってどうよ? part34>http://pc11.2ch.net/test/read.cgi/hosting/1247126261/]]
-[[VALUE DOMAINってどうよ? part35>http://pc11.2ch.net/test/read.cgi/hosting/1247663722/]]
-[[xrea.com part146>http://pc11.2ch.net/test/read.cgi/hosting/1246931972/]]
-[[CORESERVER.JP Part17>http://pc11.2ch.net/test/read.cgi/hosting/1239897758/]]
-[[【アクセス解析】AccessAnalyzer.com Part5【XREA】>http://pc11.2ch.net/test/read.cgi/hp/1234096306/]]
-[[【アクセス解析】AccessAnalyzer.com Part6【XREA】>http://pc11.2ch.net/test/read.cgi/hp/1247279199/]]
**■デジロック改竄問題に関するサイト
-[[Slashdot.jp IEをターゲットにしたゼロデイ攻撃が発生中>http://slashdot.jp/firehose.pl?op=view&id=117594]]
-[[リネージュ資料室>http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN]]
-[[セキュリティホールMEMO>http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090707_tuiki]]
-[[so-netセキュリティ通信 国内のサイト複数が改ざん>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946]]
-[[UnderForge of Lack 人事ですかそうですか(Part2) (デジロウイルスについて)>http://www3.atword.jp/gnome/2009/07/21/it-seems-i-am-not-guilty-eh/]]
**■配布されたウイルスに関するサイト
-[[マイクロソフト セキュリティ アドバイザリ (972890)>http://www.microsoft.com/japan/technet/security/advisory/972890.mspx]]
-[[トレンドマイクロ JS_DLOADER.BD >http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_DLOADER.BD&VSect=T]]
-[[マカフィー ウイルス情報 Exploit-MSDirectShow.b>http://www.mcafee.com/japan/security/virE.asp?v=Exploit-MSDirectShow.b]]
-[[シマンテック Downloader.Fostrem>http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-070605-3347-99&tabid=1]]
----
合計:&counter()
今日:&counter(today)
昨日:&counter(yesterday)
