■VALUE DOMAIN/XREA/AccessAnalyzer 不正改竄問題の流れ

※自動リンクが効かないように、 URLに〆を挿入しています。

07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される(第1報改竄を確認
   ログイン画面 (A) ttp://www.value-domain〆.com/login.php は
   (B) ttp://1856317799〆:888/s.js を呼び出している
   (C) ttp://110.165.41.103〆:888/dir/m.htm を呼び出している
   (D) ttp://110.135.41.103〆/dir/show.php を呼び出している
 ↓
07/06 魚拓が取得される
    ttp://s03.megalodon.jp/2009-0706-1843-51/https://〆www.value-domain.com/login.php
 ↓
07/06 (C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた
 ↓
07/07 (A)のlogin.phpから不正なjsコードが削除される
   (VD側が削除したのか、不正アクセス元が削除したのかは不明)
 ↓
07/07 MSからアドバイザリ、IPAからアナウンスが出る
    http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
    http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
 ↓
07/07 VDにこの件に関して問い合わせを行ったところ「改竄は確認できませんでした。」との返答がある
 ↓
07/07 -以前xreaで発生した改竄との関連が指摘される
 ↓
07/08 AccessAnalyzerのトップページ・管理ページ全般に不正なJSが挿入される改竄が発見される
   ログイン画面 (E) ttp://ax.xrea.〆com/login.php (2台のサーバでラウンドロビンしているが、改竄されたのは219.101.229.188のほう)は
   (F) ttp://1856317799〆:888/jp.js を呼び出している
   (G) ttp://0x6EA52967〆:888/dir2/show.php を呼び出している
   (H) ttp://0x6EA52967〆:888/dir2/go.jpg を呼び出している
   (I) ttp://1856317799〆:888/counter.htm を呼び出している
 ↓
07/10 マルウエアが設置されていた 110.135.41.103(= 1856317799 = 0x6EA52967) のサーバーが凍結される。
 ↓
07/13 大手プロバイダSo-netの「So-net セキュリティ通信」で、名指しで改竄&放置を指摘される
 ↓
07/21 問題のJSが削除される
 ↓
07/21 8:25頃 AccessAnalyzer改竄についてのリリースが出る
07/21 16:25頃 VALUE DOMAIN改竄についてのリリースが出る


不正なJSのコード


マルウェア分析サイトによるVDログインページの詳細


不正コードVDログインページの魚拓


※注意 この魚拓は不正なコードが仕組まれたままアクセス可能となっています。
アクセスする場合は必ずJavaScriptをOFFにしてください。


改竄されていたページ


ttp://www.value-domain.com/login.php

ttp://ax.xrea.com/support.php
ttp://ax.xrea.com/logout.php
ttp://ax.xrea.com/faq.php
ttp://ax.xrea.com/rules.php
ttp://ax.xrea.com/signup.php
ttp://ax.xrea.com/ (= ttp://ax.xrea.com/index.php)
ttp://ax.xrea.com/login.php


★ 感染予防

  • バリュドメ、アクアナのサイト全てにおいてリンクを踏まない
  • アクアナなどの解析スクリプトはすべて外す(二次被害防止にもなる
  • OS、ブラウザ、プラグインなどを最新版にする
  • セキュリティソフトも最新版に対応する(現にカスペルやノートンは反応して防いでくれている
  • VISTAの場合はユーザーアカウント制御をオン(デフォではオンになってる)にして意味不明なプログラムは実行させない
  • ルナスケやプニル、2chビューアの一部などIEをベースにしてるブラウザも警戒がいる
  • 感染が疑わしくばネット切断の上でクリーンインスコ(リカバリ)推奨


ウイルスに感染する可能性のあった期間と環境


2ちゃんねるのスレにおける第一発見者の時系列から以下の通りになります。

・7月6日4時から7月6日24時の間に、WindowsXP+IE6,7の環境でバリュードメインのログイン画面にアクセスした人が、ウイルスに感染している可能性があります。
・7月7日10時から7月10日15時の間に、WindowsXP+IE6,7の環境でアクセスアナライザにアクセスした人が、ウイルスに感染している可能性があります。

デジロウイルスに感染しているかのチェック方法


感染に心当たりのある方は、システムフォルダ内の以下の場所を確認してください

Windows 2000 SP4:
 C:\Winnt\System32

Windows XP, Vista:
 C:\Windows\System32

チェックするファイル:
carrsv.dll
diskcheck.exe
flashaegh.dll
mnpse.dll
ntst.dll

これらのファイルが存在した場合、速やかにウィルスチェックを行ってください。デジロウィルスに感染した可能性が極めて高いと思われます。

参照: UnderForge of Lack 人事ですかそうですか(Part2)
上記ブログではより詳細な感染対象環境も示されている。


■関連スレッド


■デジロック改竄問題に関するサイト


■配布されたウイルスに関するサイト



合計: -
今日: -
昨日: -

タグ:

+ タグ編集
  • タグ:

このサイトはreCAPTCHAによって保護されており、Googleの プライバシーポリシー利用規約 が適用されます。

最終更新:2009年07月25日 02:23
ツールボックス

下から選んでください:

新しいページを作成する
ヘルプ / FAQ もご覧ください。
添付ファイル