今朝出社してPCを起動した時に突然ノートンさんが暴れ出した。

ん?と思い、セキュリティーの履歴を見たらこんなのが↓
ノートンさんもお怒りです

 

なにい!?侵入だぁぁぁぁ???
とりあえず阻止出来たらしいけど、、、なにが原因だ??


よくわからない。
でも、セーフだったっぽいんでとりあえず様子見。


で、、、なにしてたんだっけ?
あ、そうだ。PC起動後にSleipnirを立ち上げたんだっけ。

さて、アクセスログでもチェックするか。

と、スタートアップ指定で既に開いてあったAccessAnalyzeer.com
のタブをリロードすると、、


あ!右下にノートンさんの警告が!!↓
AccessAnalyzer.comにトロイ埋め込まれてるぞ



即調べてみたら、2ちゃんWeb制作板のAccessAnalyzerスレで
プチ騒ぎになってました。

■ 【アクセス解析】AccessAnalyzer.com Part5【XREA】
http://pc11.2ch.net/test/read.cgi/hp/1234096306/


で、解析ページのソースを開いてみたら、
62行目に怪しいスクリプトを読み込むタグが入っていた。

AccessAnalyzer.comのここにトロイ埋め込まれてるぞ



どうやらコイツの目的はネトゲのアカウントを盗むことらしいが、
トロイの詰め合わせみたいなフシもあるらしい。

スクリプトの中身を読み解いてくれた人によると
・Windows2000/XP対象
・IE6/7限定
なんだそうだ。

あれ?でも、俺のPCはIE8が入ってるんだけど、go.jpgが
実行されてたぞ?なんでだろう?


とにかく、内容はともあれ非常にタチの悪いマルウェアで
ある事には間違いないので、当分の間はAccessAnalyzerおよび
XREAには一切アクセスしないようにした方がいいです。

てか、ここの会社は全然連絡が付かない事で有名なので
いつ対応されるのかもわからんから、ぶっちゃけ今後も
使わない&近づかない方がいいかも。


、、、と、ここで前述のスレから新たな情報が。

http://pc11.2ch.net/test/read.cgi/hp/1234096306/620

以下、引用↓

ひとまずニュースサイトとかに書いたりタレ込んだりするなら
アクアナのログイン画面からトロイの木馬
Trojan.Maliframe!html(ノートンでの検出名)が検出され
画像ファイルgo.jpgが検出されるけど、これは媒介元で本体ではないこと
ウィンドウズの2000やXPなど旧OSや旧バージョンのブラウザ(特にIE)を使い続けている人や
セキュリティやプラグインのアップデートを怠っている人は感染の可能性が高い
これはネットゲーム系へのIDやパスを盗むキーロガーでもあり
外部のウィルスサイトや攻撃サイトへリダイレクトされる可能性もあるということ

エクセリアつかアクアナの鯖全部が感染してした訳ではない様子だが
公式からの見解やコールも今だ不透明で
このアクアナをよく使っている人は要注意
対処としてはアクアナを自分のサイトから外して使わないこと
自他共にアクアナの関連サイトに飛ばないようにするのが最も安全ということだね
※ アクアナ:AccessAnalyzer.com、エクセリア:XREA.COM


つまり、
・IEはバージョンアップして
・Adobe系を始めとする各ソフトは全て最新にして
・AccessAnalyzerとXREA.com、Value-Domainにはアクセスしない
って事でよろ!


ちなみに、今回騒ぎになってるのはアクセス解析の管理画面
の事で、解析タグが貼られているこのブログへアクセスしても
ウィルスには感染しないとの事です。

さらに、念のためAccessAnalyzerのタグは全て外しました。

なので、とりあえずの対応ですがご安心ください。

 

今回はたまたま自分が使ってるサービスで起こった事だから
早めに気付いたけど、そうじゃなかったら気付くのが遅れてたかも。

やっぱこういう情報って日常的に収集するクセを付けなきゃいかんな。

Web制作に携わる人は、少なくともJP-CERTとIPAのセキュリティー
最新情報くらいはRSSに登録しておくべし。

そして、このトラブルをビジネスチャンスに転換する嗅覚を持つべし。

これもまた大事な事です。


【2009.07.09 12:00 追記】

2ちゃんWeb制作板のアクアナスレにてまとめ情報が掲載されていた
ので、勝手に転記引用します。

【概要】
・ウィンドウズ2000かXPといった旧OS、IEの旧Var、
 セキュリティ対策ナシだと感染する可能性大
・バスターだと検知しないトロイがあるようだ
・アクアナをはじめとするバリュドメのユーザーなら
 全てにおいて警戒が必要なレベルに至っている
 警戒=撤退。アクアナのスクリプトなども外す方が二次感染を防げる
・例えばアクアナのログイン画面でなく、
 ただのトップページ(ホーム)でも検出される
 ソースに異様なJavaスクリプトが組み込まれているので、
 閲覧しただけで感染するタイプ
 しかも複数のトロイを仕掛けてユーザーのセキュリティ
 ホールや脆弱性を探してそこを突いてくる
・感染するとPCの動作が重くなる(媒介元になりうることがある
 かかったトロイの種類によっては悪意のあるサイト(中国
 ドメイン)にリダイレクトして感染をさらに深刻化する可能性もある
・キーロガーであることは分かっているのでMMO(ネトゲ)の
 IDやパスが抜かれることがある
・FTPのパスや何らかの形で使用しているIDやパスも抜かれる可能性は否めない
・古いアドビリーダー・フラッシュプレイヤーを使っていると感染する

【感染予防】
・バリュドメ、アクアナのサイト全てにおいてリンクを踏まない
・アクアナなどの解析スクリプトはすべて外す(二次被害防止にもなる
・OS、ブラウザ、プラグインなどを最新版にする
・セキュリティソフトも最新版に対応する(現にカスペや
 ノートンは反応して防いでくれている
・VISTAの場合はユーザーアカウント制御をオン
 (デフォではオンになってる)にして意味不明なプログラムは
  実行させない
・ルナスケやプニル、2chビューアの一部などIEをベースにしてる
 ブラウザも警戒がいる
・感染が疑わしくばネット切断の上でクリーンインスコ(リカバリ)推奨


【2009.07.10 15:20 追記】

例のスレで感染しているかどうかの確認方法が書いてありました
のでコピペしておきますね。

一連の騒動、敵のサーバ(110.165.41.103)が繋がらなくなったので
とりあえずこれがあったら感染というファイル名をコピペしておきますね。
windowssystem32 の中に
carrsv.dll
diskcheck.exe
flashaegh.dll
mnpse.dll
ntst.dll


【2009.07.13 10:00 追記】

まとめ記事を書きました↓ こちらもご一読ください。

■ AccessAnalyzerのトロイ埋め込み騒動 その後
http://blog.livedoor.jp/katz_stlips/archives/51690768.html