アナログ
RSS  

広告サーバーからウイルス配信?2010/09/25 05:04

詳しい話はスラドで。

ADサーバー掲出タグによるセキュリティアラートと対処について - スラッシュドット・ジャパン
OSDNのサイトでは、広告バナーの配信のためのADサーバーとして、MicroAD社のVASCOを使っておりましたが、 本来掲出されるはずの広告タグの前に不明なiframeタグ差し込まれるという事態が発生し、その中身によって不明なサイトに誘導されるということが起きてしまいました。

(中略)

Googleのアップデートで「.redmancerg.net」を検索のつぶやきなどでも確認できるように、影響の範囲はVASCOを採用している各サイトの広範囲に及んでいるようです。gigazine.netimpress.co.jpほか、7netshopping.jpmainichi.jpなど未対処と思われるサイトもあるので注意してください。

[セキュリティ]MicroAD社VASCO ADサーバーによるアラート発生iframe挿入事件
対象のサイトはslashdot.jp他OSDNの各サイト(ADサーバ変更により対処済み)のほか.redmancerg.netのツイート検索結果によると未確認ながら以下でも発生していた模様。

・pc.watch.impress.co.jp 2010/09/24 21:34 で初出?
(以下リスト略)

マルウェア - route127 の日記
IEの履歴をダンプして検索したら"ats.redmancerg.net"にアクセスした形跡がありました。
libtiff.pdfというファイルをダウンロードしていたようです。
そういえばウェブ閲覧中にAcrobat Readerが動いてて、pdf見てないのに変だなとは思ったのですが。
その後なぜかjavaの画面が出てコマンドプロンプトが開きなにやらセキュリティソフトが起動し、HDD内をかき回し始めたのでタスクマネージャから落としました。
スタートメニューに図々しくもセキュリティソフトを名乗って自分を登録してきます。
%USERPROFILE%\Local Settings|Application Data以下に
 4977743877.exe
 737639280.exe
 8173354644.exe
と3つのファイルを作られました。
どれもサイズは979KBでした。

お詫びニートな2ちゃんねらー日記
243 :220 :sage :2010/09/24(金) 22:42:04 発信元:221.****


皆さんにもお知らせしときます。
まとめブログ「ニートな・・・」には一時アクセスしないほうがよいかもです。
もしくはしっかりと対策をとってからアクセスしてください。

ブログにアクセスしたらウィルス感染しました。昨日の夜です。
現在はTOPページを見るだけで感染する可能性があります。

ウィルス、というか「Security Tool」というマルウェアです。
ページを読み込むだけで不正なJava Scriptが実行され不具合がでます。

自分の場合windows updataを1か月ほど怠っていたら、
ウィルス対策ソフトをすり抜けてしまいました。

現在はアップデートしたので、ウィルス対策ソフトがきちんと警告出してくれてます。
とりあえずこんなバカは自分だけかもしれないけど、大事なことなのでお知らせしておきます。

もしこの書き込みで「ニートな…」様にご迷惑がかかってしまったら
土下座して謝りたいとおもっています。自分はいつもお世話になってますので。
余計な情報だったら平に謝ります。

などから見て、ガンブラーなどでも見られる定番の攻撃のようです。
対策手順が分からない方はSo-netを参考に対策しましょう。
(バージョン表示が古いので注意!)
初心者必見! 究極の感染対策「6つの約束」を実行しよう - So-net

なお、Adobe ReaderとAcrobatは0-day攻撃発生中ですので、可能ならアンインストールしておきましょう。
次善策としてブラウザで開けないように、プラグインを無効にするのも手でしょう。
AdobeにこだわらなくていいのならPDFを見る手段は他にもあります→PDFの表示あれこれ

「Adobe Readerの脆弱性は修正されたけど、設定はこうしておこう!」


ちなみに昨夜のアクセス解析でFlash Playerのバージョン(対策済みは「10.1.85.3」と「9.0.283」)を見てみると、問題ないのは32%程度……みんな懲りないなぁ。
Flash Playerをアップデートしましょう

9/24日アクセス解析 - Flash Player Version

-参考-

「衝撃!!ウイルス感染のその瞬間 前編」


「衝撃!!ウイルス感染のその瞬間 後編」


-追記-

参考動画とかちょこちょこ追加

セキュリティホール memo(MicroAd の無料広告サーバ改竄関連)
「ipq.co」は悪用に都合よさげなんで遮断しておきたいなぁ。
ルーターで遮断すると見たいときこまるし……Adblockの他に手はないか?(ExExceptionsにした


ドライブ・バイ・ダウンロード攻撃によるAdobe Readerゼロデイ脆弱性の悪用 - Tokyo SOC Report
東京SOC では、Adobe ReaderおよびAcrobatのゼロデイ脆弱性(CVE-2010-2883) を悪用するドライブ・バイ・ダウンロード攻撃を確認しました。前回のTokyo SOC Report[1]では、この脆弱性を悪用するPDFファイルが標的型メールによって送信されていることをお伝えしましたが、今回確認した攻撃では、改ざんされたWebサイトからユーザーを誘導することで攻撃を行っているため、攻撃対象が大幅に拡大しています。

(中略)

本脆弱性を悪用する攻撃に対しては、Adobe Reader および Acrobat の JavaScript を無効化することで影響を緩和することが可能です。

マイクロアドの広告配信サーバ改ざん(1)配信先で偽セキュリティソフトに感染
 編集部が25日昼頃に行った調査では、攻撃サイトには「Phoenix Exploit's Kit」という攻撃ツールが設置されていた。改ざん時に実際にどのような攻撃が行われたかは分からないが、この攻撃ツールはこれまで、Adobe Reader、Adobe Flash 、JRE(Java Runtime Environment)、Internet Explorer、MDAC(Data Access Components)、SnapShot Viewerといった定番の脆弱性を悪用した実績がある。これらソフトウェアのいずれかが未更新の古いバージョンだった場合には、「Security Tool」という偽セキュリティソフトのインストーラー「update.exe」が自動的にダウンロード・実行される。
マイクロアドの広告配信サーバ改ざん(2)「改ざん告知サイト」一覧魚拓

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
スパムがウザイので合い言葉を入れるようにしました。山と言えば川だろJK


コメント:

トラックバック

このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/09/25/5366832/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。