fc2ブログ
伺かのこととか
  • 02«
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • »04
xrea広告のウイルス
ゆいなさんのサイトを見て公式覗いてみたんですがこれかー!? 凶悪ですね。えーと、広告自動挿入だと大丈夫なんでしょうか。

実は別のサーバに移転する予定で、少しずつ準備してたんですが、もうしてしまおうかな・・・

とりあえずゴースト配布ページとか思い当たるページは自動挿入に。

広告サーバーのひとつ202.181.97.153が汚染され、
そこ経由の挿入無料広告が表示されると、
Flashplayer未更新の場合「広告を踏まなくても」表示されただけで、
オンラインゲームのアカウントハッキングを行うウィルスがダウンロード・実行される状態になっています。

DLされるファイルは以下の通り。
i115.swf
taa.gif
orz.exe
sonb32drv.dll

いずれもオンラインゲームのアカウント情報を盗むファイルです。
当スレッド上位で報告されているファイルは、誤検出などではなく
れっきとしたウィルスです。
(しかも一部アンチウィルスソフトでは検出されないものも含まれています!)


問題発生から1週間、放置継続のため、
この土日(該当オンラインゲームのサポートセンター休日)にあわせて
ハッキングされたアカウントが一斉に処理されているらしく、
被害報告が急増しています。


掲示板書き込みを引用させていただくとこんな感じです。
この記事へのコメント
自動挿入でも危険なようです
 つい一昨日までXREAサーバーにオンラインゲーム
(まさに問題になっているゲーム)のコミュニティサイトを
置いていたものです。
 正確には友人がXREAサーバーに当初設置し、
今回の問題を受けてわたしのプロバイダーのほうに
コンテンツ移転したのですが、受け取ったindex.htmlの
ソースを確認したところ自動挿入に設定されていたようで、
広告用のタグは存在しませんでした。
 しかし、移転前のページを踏んだところIPフィルタソフトが
今回危険とされるIPをブロックしたり、他の閲覧者の方が
ウィルスexeをDLされていたりと被害の抑止には全く
つながっていませんでした。

 今回の件について情報収集のためWEB巡回中に、
たまたまお見かけしたのでコメントさせていただきました。
お役に立てれば幸いです。
通りすがり[URL] 2008/06/17(火) 00:29 [EDIT]
こんばんは
なんか名前が挙がっていたので、呼ばれもしないのに書き込み参上なのです(えー

今回のウイルス、自動挿入型の場合の広告はFlashじゃない場合が多いので大丈夫ではないかとのこと。
手動では広告がFlashになってしまうっぽいのです。
今回のウイルスはFlashの脆弱性が狙われたものだったので、Flashプレイヤーを最新にしていない方は危なかったのではとのこと。

AVG8.0でなら検索・隔離は可能との事なので、確かめてみてくださいませ。
ご迷惑おかけしております(´・ω・`)
ゆいな[URL] 2008/06/17(火) 00:29 [EDIT]
ちょこっと具体的に今回の問題について書くと、

XREAの5つある広告サーバーのひとつが汚染

表示される広告は上記5つのサーバーの中からランダムで選ばれたものから転送される
うち、汚染されたものから送られるものにJavascriptがしこまれ、
閲覧すると自動的に実行、最終的にFlashplayerの脆弱性をつくべく.swfファイルを吐き出す

ウィルスDL、対策なしのPCでは問答無用で実行

となります。
自動挿入であれ手動挿入であれ、
選択される広告はランダムであり問題のサーバーに
つながる可能性は同率です。

具体的な対策(XREA側のサーバー隔離等)がなされないうちは
安心してXREA系HPを見るのは難しそうです(((((´・ω・)
通りすがり[URL] 2008/06/17(火) 01:04 [EDIT]
ありがとうございます!
通りすがりさん、ゆいなさん、書き込みありがとうございます。フラッシュプレイヤーが最新版なら感染はしないけれど、手動・自動に関わらず感染する・・・ってとこでしょうか。XREA早くどうにかしてほしいですね・・・。

通りすがりさん、例のゲームのコミュニティサイトの管理人さんということで色々大変だったのではないでしょうか。お疲れ様です・・・。

ゆいなさんもありがとうございます。手動でも危ないようなのでその旨そちらのサイトにも書き込んでおきますね。
ユスラ@管理人[URL] 2008/06/17(火) 01:21 [EDIT]

管理者にだけ表示を許可する
 
この記事のトラックバック
TB*URL

Copyright © 2005 doll face. all rights reserved.