QLOOKアクセス解析

人生は雨の日ばかりじゃない  Ver.2

弱かったり 運が悪かったり 何も知らないとしても それは何もやらない事のいいわけにはならない そんなzak_mustangプレゼンツなblog

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  1. --/--/--(--) --:--:--|
  2. スポンサー広告

xreaのアクセス解析タグはずした

xreaのサーバーが例のGENOウィルスっぽいのにやられたらしい。

  IEをターゲットにした0-day攻撃が発生中 (Slashdot)

 

「Microsoft Video ActiveXコントロールの脆弱性により、リモートでコードが実行される(972890)」脆弱性を利用したゼロデイ攻撃が発生しているようだ。これは5月末に出た「Microsoft DirectShowの脆弱性により、リモートでコードが実行される(971778)」脆弱性とは別であることに注意(ITmediaの記事、セキュリティホールmemoの該当エントリ)。

クライアント側の対策としてはIEを使用しない、もしくはVideo ActiveXコントロールを無効にする「Fix itによる回避策の実行」を行うなどがあげられる。

国内では VALUE DOMAIN のログインページ改ざんが確認されたようだ。またVALUE DOMAINを使用しているwikiwik.jp内でもサイトの改ざんがあり、各wikiを閲覧したユーザーに被害が広がった模様。 wikiwiki.jp、VALUE DOMAINともに特に発表等はなく、対処済みなのかなど現状は不明。そのほか、fewiki.jpというサイトも攻撃コードが仕込まれていた模様だが現在閉鎖中で詳細は不明だ。

なお、GENOウイルス同様に被害サイトはほかにも多数あると推測される。今回の攻撃サイトでは同時にAdobe 製品の脆弱性をついたコードも実行されるが、こちらはGENOウイルス同様に問題のあるAdobe製品のアップデートによって対処が可能だ。なお、 Adobe Readerに関してはソフトのアップデートのほか、JavaScript機能をオフにすることも推奨されている。


当該スレによると、GENOウィルスに似ているが、よりタチが悪く、いろんなタイプの複数のトロイを引き込むスクリプトのようだ。リンクを踏むだけで感染する。xreaの他、wikiwiki.jp、VALUE DOMAINがやられてるらしい。
症状としては、キーロガーを仕込まれる、ネトゲのパスワードを抜かれる、回線が重くなる、等々だそうだ。

踏むと、ActiveXコントロールの穴を突いてgo.jpg(あるいはgo(1).jpg)という偽装jpgファイルをスクリプトとして読み込み、トロイを引き込むらしい。
アンチウィルスが検出する場合、最初にこのgo.jpgに触れた時点あるいはDLして読み込む前に警告が出るようだ。
go.jpg(あるいはgo(1).jpg)をDLするとTemporaly Internet Filesフォルダに保存されるようなので、HDD内を検索すればDLしたかどうかはわかるみたいだがスクリプトが実行されたかどうかまではわからない。
ちなみにオレは見つからなかったので一応大丈夫みたいだ。一応。

感染してしまうとGENOウィルスのように今回もクリーンインスコしか手が無いようなのでなんとも。
しかも今回は感染したかどうか簡単に見分ける術はまだ出て無い。やっかいだなあ。
とりあえずHDD内を検索(およびウィルススキャン)してgo.jpg(あるいはgo(1).jpg)が見つからなければおそらく問題ないとは思うけどね。

スクリプトのターゲットはWin2000/XP+IE6/7環境だそうだが、いまのところその他の環境でも安全とはいえないみたい。Windows Vista および Windows Server 2008は大丈夫らしいが。
当該スレ有志の報告では、8日20時の時点でノートン、カスペルスキー、avast、nod32は検出可、ウィルスバスターはNG、赤傘、AVG等は不明だった。その後ウィルスバスターも23時ごろには対応してたみたい。赤傘は反応したというレスもあった。

xreaスレによるとアクセス解析の2つあるサーバのうち片方が感染しているらしい。
オレのブラウザはFirefoxのせいか反応しないのでどちらかはわからない(踏んでいないのか、踏んだけどFxだから大丈夫なのか、やっちゃったけど赤傘が検出してくれなくてわからないのか)のだけど、一応解析タグははずしといた。
無料版はIEだとページの隅にバナーが出るので誰かに無意識に踏まれても困るし。感染源にはなりたくないからね。

感染したサイトは未だ対策がなされてないようなので、君子危うきに近寄らずが一番。
今回もActiveXの穴をついた攻撃なので、ActiveXマンセーな隣国だったらさぞ大変だったろうな、などと思ったところでふとこのニュースを思い出した。


  韓国政府にハッカー攻撃 同時多発サイバーテロか (イザ)

 韓国で7日夜、青瓦台(大統領府)や国防省を含む政府機関、大手銀行や民間主要ポータルサイト、大手紙などのウエブサイトが大規模なハッカー攻撃を受け、4時間以上にわたって接続不能となる事件があり、韓国捜査当局は同時多発サイバーテロの疑いがあるとして8日、本格的な調査に着手した。一部のサイトでは、8日午前も障害が続いている。

記事本文の続き 韓国捜査当局者によると、攻撃は北朝鮮や中国国内からの可能性があり、韓国警察庁サイバーテロ対応センターのほか、対テロ機関である国家情報院の担当部門も調査している。

 韓国メディアによると、同国内の主要サイトに対する同時多発のハッカー攻撃は初めてという。

 捜査当局によると被害は、7日午後6時半ごろ、主要ポータルサイト「ネイバー」で、アクセスに極端な時間がかかるなどの障害が出始めたことが確認され、次第に大統領府や国防省、外交通商省、国会などの国家機能中枢、大手紙「朝鮮日報」の電子版サイトなどでも障害が発生、11サイトで被害が確認された。

 攻撃はそれぞれのサイトに、一気に膨大なアクセスがあったかのように誤認識させてサーバーの処理能力を超過させる手口という。捜査当局によるこれまでの調査では、情報の流出や、政府機関内部のデータベースへの不正侵入などの深刻な被害は出ていない。こうしたことから、捜査当局では攻撃の目的について「ウイルスの効果を調べる目的や、韓国政府機関などのサイバーテロ対策の水準を調査する目的があったのではないか」との見方も出ている。


まさか、これのとばっちりとかだったらムカつくな。
韓国系のサイトもしばらくアクセスしない方が安全かも。


【追記7/11】
アカウントとかは中国の鯖に飛ぶよう細工されているようなのでどうやら朝鮮ではなく中華製らすい。
ネトゲのパス狙ってるところからRMT窃盗団(入手したパスでログインしてアイテムをかっさらう)なんじゃないのかとかなんとか。

まとめwikiが出来てた。

  デジロウイルスまとめwiki


【追記7/14】
こちらにも情報が。
まだxrea直ってないみたいだね。

  国内のサイト複数が改ざん~早急にDirectShowの脆弱性回避策の適用を(So-netセキュリティ)

・XREAのAccessAnalyzer
 13日午前の段階でまだ改ざんされたままなのが、XREAのAccessAnalyzerのサイト。アクセス解析ページが8日以前に改ざんされたとみられ、10日の時点ではトップページ以下、すべてのページが改ざんされているのを編集部で確認している。
 同サイトは2基のサーバーを使用しており、そのうち1基のみが改ざんされている。VALUE DOMAINも、XREAも、デジロック(本社:大阪市中央区)が提供しているサービス。また、WIKIWIKI.jpも、改ざんされた時点では「s103.xrea.com」で運営されていた。(

【仕掛けられている攻撃方法とその対策】

 これら3件の改ざんは、閲覧者を香港の攻撃サーバーに誘導するよう仕組まれている。編集部ではこの攻撃サーバーが6日夜の時点で活動していたことを確認しているが、現在は停止中だ。このサーバーには、Adobe ReaderとFlash Playerのそれぞれ修正済みの脆弱性と、DirectShowの脆弱性を悪用しようとする攻撃コードが仕掛けられていた。

 改ざんされたサイトを閲覧してウイルスに感染するおそれがあるのは、Adobe ReaderやFlash Playerが最新版になっていなかったり、DirectShowの脆弱性の回避策を適用しておらず、OSがXPでInternet Explorer 6/7を利用しているパソコン。対策として、関連記事を参考に、すみやかにDirectShowの脆弱性の回避策を適用し、Adobe ReaderとFlash Playerを最新版にするようおすすめする。


  1. 2009/07/09(木) 02:22:50|
  2. WEB/BLOG
  3. | トラックバック:0
  4. | コメント:0
以下、広告です。
 


新車投入の怪>> | ホーム | <<またまたカスゴミのターン

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバックURLはこちら
http://zakmustang.blog26.fc2.com/tb.php/3067-9c8a851c
この記事にトラックバックする(FC2ブログユーザー)
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。