ArtSaltのサイドストーリー

音楽、フリーウェア、WEBサービス、食べものなどに関する日記。トラックバック、コメント歓迎。

AccessAnalyzerにトロイの木馬が埋め込まれた?

アクセス解析 AccessAnalyzer.com - http://ax.xrea.com/ のページがトロイの木馬に感染したという報告がたくさんあって、お祭りだ。以下は引用。

456 Trackback(774) [sage] Date:2009/07/09(木) 11:26:52  ID:ypOjxDYo Be:
    ■VALUE DOMAIN/XREA 不正改竄問題の流れまとめ■

    07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される
       ログイン画面 (A) ttp://www.value-domain〆.com/login.php は
       (B) ttp://1856317799〆:888/s.js を呼び出している
       (C) ttp://110.165.41.103〆:888/dir/m.htm を呼び出している
       (D) ttp://110.135.41.103〆/dir/show.php を呼び出している
     ↓
    07/06 魚拓が取得される
        ttp://s03.megalodon.jp〆/2009-0706-1843-51/https://www.value-domain.com/login.php
     ↓
    07/06 (C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた
     ↓
    07/07 MSからアドバイザリ、IPAからアナウンスが出る
        http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
        http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
     ↓
    07/07 (A)のlogin.phpから不正なjsコードが削除される
       (VD側が削除したのか、不正アクセス元が削除したのかは不明)
     ↓
    07/07 以前xreaで発生した改竄との関連が指摘される
       http://sb.xrea.com/showthread.php?p=84465
     ↓
    07/08 AccessAnalyzerのログイン画面に不正なJSが挿入される改竄が発見される
       ログイン画面 (E) ttp://ax.xrea.〆com/login.php は
       (F) ttp://1856317799〆:888/jp.js を呼び出している
       (G) ttp://0x6EA52967〆:888/dir2/show.php を呼び出している
       (H) ttp://0x6EA52967〆:888/dir2/go.jpg を呼び出している
       (I) ttp://1856317799〆:888/counter.htm を呼び出している
       (※注意 (E)への改竄は07/09現在まだ削除・修正されていない)
     ↓
    07/09 現在までVDからの公式アナウンスなし ←いまここ

もう1箇所引用。人柱になった人の報告。

598 Name_Not_Found [sage] Date:2009/07/08(水) 20:02:29  ID:??? Be:
    暇なので、さらにチェク
    無防備なWinXPを生けにえにささげ、exeをげと
    んー、やっぱ普通にキーロガーですね。でもどこまで反応するかなー。特定アプリ(ネトゲ)にのみのターゲットかも
    ネトゲまではいれてないしなー

    とりあえず、本体までくるとどのセキュリティソフトでもNGっていってくるんで、
    なにかセキュリティソフト入ってれば大丈夫でしょう。とりあえずはね

    それに、ここの系列のウイルスはよくよく調べたら俺も対応したことあるかなり有名どころですね。俺、セキュリティ関連の仕事とかしてるもんで
    これうざいんですよ。でもうざいだけですね。実害は……、人によるかな。まぁ、不安定にはなるからあえて感染するのはお断りしたいですね

やってることは通称「GENOウィルス」とよく似ている。ようするにトロイの木馬。被害者は Windows XP, 2000 限定? ただし「Adobe製品を最新のものに…」という対策はあまり関係なさそう。

AccessAnalyzerのアクセス解析を埋め込んだWebサイトが新たな感染源つまりトロイの木馬をばらまく可能性があるかどうか。うちのブログはAccessAnalyzerとかXREA とか、そういうアクセス解析の類を一切やってないので詳しくはわからない。いずれエロイ人たち(「廃墟少女さまりー」さんとか)から詳しい説明がなされると思う。

関連

Google
WWW ArtSaltのサイドストーリー
Web site (optional)
Comment - Need to type CAPTCHA, an image of distorted Japanese Hiragana or Katakana afterward.
Password - Not allowed to modify your comment later if password not entered.
On secret mode?
 

http://art2006salt.blog60.fc2.com/tb.php/1044-4702ac12

このブログについて

最近のエントリ

カテゴリー
あわせて読みたいブログ

あわせて読みたい

最近のコメント
Internet Explorer
よりも便利です

Opera 9 - Always secure with Opera Firefoxをダウンロード!!

相互リンク