UnderForge of Lack

EMERGENCY

汚染源拡大：
例の ActiveX (msvidctl.dll) 攻撃を思いっきり助長している Xreaですが
とうとう、アクセス解析のサイトトップにもインジェクションコードが埋め込まれています。

ここまで事態が拡大しているにも関わらず、何も手を打とうとしないのは何故なのか？
よくわかりません。

hellh.net

ax.xrea.com
Aレコード：
219.101.229.189
219.101.229.188

どういうラウンドロビンになっているのか判りませんが、219.101.229.188のみが感染コードの撒布を行っているようです。

Analysis report for hXXp://219.101.229.188/

hXXp://１856317799:888/jp.js
hXXp://０x6EA52967:888/dir2/show.php
hXXp://０x6EA52967:888/dir2/go.jpg
hXXp://１856317799:888/counter.htm

1856317799(10進表記) 0x6ea52967(16進表記)
110.165.41.103

幸いなことに、現在 110.165.41.103 は無応答状態ですが、今後はわかりません

APNIC-HM Hong Kong

110.165.*.* で検索しても、過去犯歴は見当たりません。

尚、hellh.net は現在はなぜか FC2管轄のリモートホストに向けられています。

sata4.fc2.com

208.71.106.124
59.151.23.102
211.152.51.110

---
同様の改竄が FC2 を中心に広まっている模様。

個人サイトを書くと迷惑になる可能性がありますので、各自でgoogle先生にお尋ねください。

-------------

感染確認：

（恐らく) WIndows Vista, Server2008 のユーザ様には関係ありません。

最近、Webを閲覧している最中に突然
「"MicrosoftCorporation"からの
ActiveX control for steaming videoアドオンを実行しようとしてます」
が開いた記憶のある方は、Windowsフォルダ内の以下のファイルの有無をチェックしてください。

もし存在していた場合は、残念ながら
懸念があります。

亜種も飛び交い始めており、今後更に激しくなる可能性を否定できません。
Worm.AutoRun!sd6, Packed.Generic.181, Worm.Win32.AutoRun.lul, Generic.. -- 2009/06/04 0:34:38
not-a-virus:NetTool.Win32.ZXProxy.h -- 2009/07/07 3:09:10
Suspicious.MH690, Worm.Win32.AutoRun.gfq, New Malware.u, Mal/Packer.. -- 2009/07/07 14:33:02

念のために、ゲーム(MMORPGなど)を含む有価情報のパスワード変更を必ず、「感染していないことが確認された環境」から行ってください。
※KeyLoggerが埋め込まれている場合、パスワードの変更を行ったという情報が記録、送信されてしまうため、かえって危険です。

This entry was posted on 土曜日, 7 月 11th, 2009 at 11:29 AM and is filed under RiskHedge. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.