ArtSaltのサイドストーリー

アクセス解析 AccessAnalyzer.com - http://ax.xrea.com/ のページがトロイの木馬に感染したという報告がたくさんあって、お祭りだ。以下は引用。

456 Trackback(774) [sage] Date:2009/07/09(木) 11:26:52  ID:ypOjxDYo Be:
    ■VALUE DOMAIN/XREA 不正改竄問題の流れまとめ■

    07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される
    　　　ログイン画面　(A) ttp://www.value-domain〆.com/login.php　は
    　　　(B)　ttp://1856317799〆:888/s.js　を呼び出している
    　　　(C)　ttp://110.165.41.103〆:888/dir/m.htm　を呼び出している
    　　　(D)　ttp://110.135.41.103〆/dir/show.php　を呼び出している
    　↓
    07/06　魚拓が取得される
    　　　　ttp://s03.megalodon.jp〆/2009-0706-1843-51/https://www.value-domain.com/login.php
    　↓
    07/06　(C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた
    　↓
    07/07　MSからアドバイザリ、IPAからアナウンスが出る
    　　　　http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
    　　　　http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
    　↓
    07/07　(A)のlogin.phpから不正なjsコードが削除される
    　　　(VD側が削除したのか、不正アクセス元が削除したのかは不明)
    　↓
    07/07　以前xreaで発生した改竄との関連が指摘される
    　　　http://sb.xrea.com/showthread.php?p=84465
    　↓
    07/08　AccessAnalyzerのログイン画面に不正なJSが挿入される改竄が発見される
    　　　ログイン画面　(E) ttp://ax.xrea.〆com/login.php は
    　　　(F)　ttp://1856317799〆:888/jp.js　を呼び出している
    　　　(G)　ttp://0x6EA52967〆:888/dir2/show.php　を呼び出している
    　　　(H)　ttp://0x6EA52967〆:888/dir2/go.jpg　を呼び出している
    　　　(I)　ttp://1856317799〆:888/counter.htm　を呼び出している
    　　　(※注意　(E)への改竄は07/09現在まだ削除・修正されていない)
    　↓
    07/09　現在までVDからの公式アナウンスなし　←いまここ

もう1箇所引用。人柱になった人の報告。

598 Name_Not_Found [sage] Date:2009/07/08(水) 20:02:29  ID:??? Be:
    暇なので、さらにチェク
    無防備なWinXPを生けにえにささげ、exeをげと
    んー、やっぱ普通にキーロガーですね。でもどこまで反応するかなー。特定アプリ（ネトゲ）にのみのターゲットかも
    ネトゲまではいれてないしなー

    とりあえず、本体までくるとどのセキュリティソフトでもＮＧっていってくるんで、
    なにかセキュリティソフト入ってれば大丈夫でしょう。とりあえずはね

    それに、ここの系列のウイルスはよくよく調べたら俺も対応したことあるかなり有名どころですね。俺、セキュリティ関連の仕事とかしてるもんで
    これうざいんですよ。でもうざいだけですね。実害は……、人によるかな。まぁ、不安定にはなるからあえて感染するのはお断りしたいですね

やってることは通称「GENOウィルス」とよく似ている。ようするにトロイの木馬。被害者は Windows XP, 2000 限定？ ただし「Adobe製品を最新のものに…」という対策はあまり関係なさそう。

AccessAnalyzerのアクセス解析を埋め込んだWebサイトが新たな感染源つまりトロイの木馬をばらまく可能性があるかどうか。うちのブログはAccessAnalyzerとかXREA とか、そういうアクセス解析の類を一切やってないので詳しくはわからない。いずれｴﾛｲ人たち（「廃墟少女さまりー」さんとか）から詳しい説明がなされると思う。

• Wepawet ' JavaScript Report for http://ax.xrea.com/

  xrea.com から MsVidCtl Overflow というexploitが検出されている。malicious.

• Wepawet ' JavaScript Report for http://ax.xrea.com/login.php

  xrea.com のログインページ解析。同じく MsVidCtl Overflow というexploitが検出されている。malicious.

• IEをターゲットにした0-day攻撃が発生中 - スラッシュドット・ジャパン

  VALUE DOMAIN のログインページが改竄されているんだとか。