アクセス解析サービスAccessAnalyzerの公式サイトが改ざんされる


 アクセス解析サービスを提供してる「AccessAnalyzer」の公式ページ(ax.xrea.com)が改ざんされてるそうな。あくまで、この公式ページ内の話で、アクセス解析タグそのものは問題なし。
デジロウイルスまとめwiki - トップページ


 さっそく「AccessAnalyzer」の公式ページのHTMLをチェックしてみると、外部サイトへアクセスさせる不正なJavaScriptタグが埋め込まれてます。(ここは2つのサーバーで運営しているそうで、そのうち1つがやられてるため、アクセスするタイミング次第では不正なタグが埋め込まれてないHTMLファイルが表示される場合あり。)

http://img37.imageshack.us/img37/6669/94466952.th.png

 幸いこの外部サイトが現在は一時的(?)に休眠状態ということで、ウイルスを送り付けられる状況ではないようですが、GENOウイルスで話題になったAdobe製品の旧バージョンにある脆弱性や、まだMicrosoftからセキュリティパッチが提供されておらず「0day」状態なActiveXの脆弱性を突く手法を利用していたとのこと。


 ところで、飛び先のURLアドレスが「hxxp://1856317799:888/ ~」となっていて、何だか見慣れない形式ですな。10進数で表記されてるんで、HSPで変換するコードをテキトーに書いてみるみる~。



// HSP3

// オリジナルの10進数
 ip10 = "1856317799"
 mes ip10 + "\n↓"


// 16進数に変換
 ip16 = strf("%x", int(ip10))
 mes ip16 + "\n↓"


// 2バイトごとに切り出す
 i = 0
 repeat 4
  ip16_cut.cnt = strmid(ip16, cnt * 2, 2)
 loop
 mes ip16_cut.0+"."+ip16_cut.1+"."+ip16_cut.2+"."+ip16_cut.3 + "\n↓"


// 16進数から10進数に戻す
 repeat 4
  ip10_cut.cnt = int("$" + ip16_cut.cnt)
 loop
 mes ""+ip10_cut.0+"."+ip10_cut.1+"."+ip10_cut.2+"."+ip10_cut.3


■ ウイルス関連紹介ぺーじ♪
無料ウイルス対策ソフト (avast!、AVG、Avira AntiVir、MSE)
EICARウイルス ... 無害な”ウイルス”で検知体験
オンラインスキャン(1) ...パソコンのウイルスチェック
オンラインスキャン(2) ... ファイル単体のウイルス判定
インストール不要 ウイルススキャンソフト ... ウイルス駆除専門
セキュリティソフト一覧 ... 無料の試用版