各位
Web analytics service exploited for malicious purposes
https://www.jpcert.or.jp/at/2010/at100028.txt
I. 概要
JPCERT/CC では、2010年9月末から10月中旬の期間において、特定の Web アクセス解析サービスを感染経路としたと想定されるマルウエア感染に関する報告を受けています。上記期間において、当該アクセス解析サービスを使用するWebサイトを閲覧した場合、ユーザの PC がマルウエアに感染した可能性があります。当該アクセス解析サービスは、多くの商用 Web サイトで利用されている事から、広範囲のユーザが影響を受けた可能性があります。
*** 更新: 2010年10月27日追記 ****************※ JPCERT/CC では、当該アクセス解析サービス提供事業者様に、本件の調査
と問題解決のための対応を依頼し、事業者様にて詳細な調査を実施いただ
いております。
**************************************************
現在、JPCERT/CC ではアクセス解析サービスを感染経路としたマルウエアの感染活動が停止している事を確認していますが、上記期間に該当する Web サイトを閲覧したユーザの PC が脆弱性のある古いソフトウエアを使用していた場合、マルウエアに感染した可能性があります。念のため、PC がマルウエアに感染していない事を確認してください。
再び同様の攻撃が行われる可能性があります。OS やアプリケーションに修正プログラムを随時適用し、常に最新の状態となるようにしてください。
※ 本攻撃に関しては、まだ不明な点が存在しているため、JPCERT/CC では引
き続き調査を行っています。
II. 攻撃シナリオ
想定される攻撃シナリオは以下の通りです。
1) 攻撃者は何らかの方法でアクセス解析サービスを提供する事業者のサー
バに攻撃コードを混入させ、アクセス解析サービスを利用している Web
サイトが表示されたときにマルウエアに感染するように細工を施します。
- このアクセス解析サービスが多くの商用 Web サイトで利用されてい
る事から、広範囲のユーザが影響を受けた可能性があります。
2) アクセス解析サービスを利用している Web サイトをユーザが閲覧したと
きに、1) の攻撃コードが実行され、ユーザの PC がマルウエアに感染し
ます。
- 既知の Java の脆弱性が使用されていたことを確認しています。
3) マルウエアに感染した PC は、外部から別のマルウエアをダウンロード
するため、複数のマルウエアに感染します。
※ JPCERT/CC では、2) および 3) のマルウエア感染に使用されたサイトの停
止に向けて調整を行っています。
III. 検知情報
JPCERT/CC では、マルウエアに感染した PC に以下のファイルが含まれていた事を確認しています。システムに以下のファイル名のファイルが存在している場合、マルウエアに感染している可能性があります。
感染した PC に含まれるファイル:
- mstmp
- lib.dll
- lib.sig
- AdvBHO.dll
ファイルの検索手順例 (Windows XP の場合)
1) [スタート]メニューから、検索をクリックする。
2) 検索コンパニオンの"ファイルとフォルダすべて"をクリックする。
3) "ファイル名のすべてまたは一部" にファイル名を入力し、検索ボタン
をクリックする。
4) 検索結果に上記ファイル名が表示されないことを確認する。
※ 検索結果に、部分一致するファイル名 (xxxxlib.dll など) が表示され
る場合があります。感染ファイルではない可能性があるため、、ウイル
ス対策ソフトで別途スキャンしてください。
上記以外のファイル名のファイルが攻撃に使用されている可能性があります。ウイルス対策ソフトでシステム全体のスキャンを併せて実施することを推奨します。
IV. 対策
III. 検知情報を参考に、PC がマルウエアに感染しているか確認してください。
[マルウエアに感染している場合]
- PC をネットワークから切り離し、システム担当者の指示に従いマルウエ
アを駆除してください。駆除が困難な場合は、クリーンインストールの
実施を検討してください。
※ マルウエアに感染した PC は、外部から別のマルウエアをダウンロード
するため、感染が確認された場合、複数のマルウエアに感染している可
能性があります。
- マルウエアの駆除後、使用する PC の OS やインストールされているソ
フトウエアを最新の状態に更新してください。
- ウイルス対策ソフトの定義ファイルを最新の状態に更新し、ウイルス検
知機能が有効になっていることを確認してください。
[マルウエアに感染していない場合]
- 使用する PC の OS やインストールされているソフトウエアが最新かど
うか確認し、必要に応じて最新の状態に更新してください。
- ウイルス対策ソフトの定義ファイルを最新の状態に更新し、ウイルス検
知機能が有効になっていることを確認してください。
V. 参考情報
トレンドマイクロ セキュリティ ブログ
国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム
http://blog.trendmicro.co.jp/archives/3723
*** 更新: 2010年10月27日追記 ****************
ドライブ・バイ・ダウンロード攻撃で感染する”mstmp”ウイルスについて
https://www-950.ibm.com/blogs/tokyo-soc/entry/dbyd_mstmp_20101027?lang=ja
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2010-10-27 初版
2010-10-27 概要と参考情報に追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2010-0028
JPCERT/CC
2010-10-27(初版)
2010-10-27(更新)
JPCERT/CC Alert 2010-10-27
アクセス解析サービスを使用した Web サイト経由での攻撃に関する注意喚起Web analytics service exploited for malicious purposes
https://www.jpcert.or.jp/at/2010/at100028.txt
I. 概要
JPCERT/CC では、2010年9月末から10月中旬の期間において、特定の Web アクセス解析サービスを感染経路としたと想定されるマルウエア感染に関する報告を受けています。上記期間において、当該アクセス解析サービスを使用するWebサイトを閲覧した場合、ユーザの PC がマルウエアに感染した可能性があります。当該アクセス解析サービスは、多くの商用 Web サイトで利用されている事から、広範囲のユーザが影響を受けた可能性があります。
*** 更新: 2010年10月27日追記 ****************※ JPCERT/CC では、当該アクセス解析サービス提供事業者様に、本件の調査
と問題解決のための対応を依頼し、事業者様にて詳細な調査を実施いただ
いております。
**************************************************
現在、JPCERT/CC ではアクセス解析サービスを感染経路としたマルウエアの感染活動が停止している事を確認していますが、上記期間に該当する Web サイトを閲覧したユーザの PC が脆弱性のある古いソフトウエアを使用していた場合、マルウエアに感染した可能性があります。念のため、PC がマルウエアに感染していない事を確認してください。
再び同様の攻撃が行われる可能性があります。OS やアプリケーションに修正プログラムを随時適用し、常に最新の状態となるようにしてください。
※ 本攻撃に関しては、まだ不明な点が存在しているため、JPCERT/CC では引
き続き調査を行っています。
II. 攻撃シナリオ
想定される攻撃シナリオは以下の通りです。
1) 攻撃者は何らかの方法でアクセス解析サービスを提供する事業者のサー
バに攻撃コードを混入させ、アクセス解析サービスを利用している Web
サイトが表示されたときにマルウエアに感染するように細工を施します。
- このアクセス解析サービスが多くの商用 Web サイトで利用されてい
る事から、広範囲のユーザが影響を受けた可能性があります。
2) アクセス解析サービスを利用している Web サイトをユーザが閲覧したと
きに、1) の攻撃コードが実行され、ユーザの PC がマルウエアに感染し
ます。
- 既知の Java の脆弱性が使用されていたことを確認しています。
3) マルウエアに感染した PC は、外部から別のマルウエアをダウンロード
するため、複数のマルウエアに感染します。
※ JPCERT/CC では、2) および 3) のマルウエア感染に使用されたサイトの停
止に向けて調整を行っています。
III. 検知情報
JPCERT/CC では、マルウエアに感染した PC に以下のファイルが含まれていた事を確認しています。システムに以下のファイル名のファイルが存在している場合、マルウエアに感染している可能性があります。
感染した PC に含まれるファイル:
- mstmp
- lib.dll
- lib.sig
- AdvBHO.dll
ファイルの検索手順例 (Windows XP の場合)
1) [スタート]メニューから、検索をクリックする。
2) 検索コンパニオンの"ファイルとフォルダすべて"をクリックする。
3) "ファイル名のすべてまたは一部" にファイル名を入力し、検索ボタン
をクリックする。
4) 検索結果に上記ファイル名が表示されないことを確認する。
※ 検索結果に、部分一致するファイル名 (xxxxlib.dll など) が表示され
る場合があります。感染ファイルではない可能性があるため、、ウイル
ス対策ソフトで別途スキャンしてください。
上記以外のファイル名のファイルが攻撃に使用されている可能性があります。ウイルス対策ソフトでシステム全体のスキャンを併せて実施することを推奨します。
IV. 対策
III. 検知情報を参考に、PC がマルウエアに感染しているか確認してください。
[マルウエアに感染している場合]
- PC をネットワークから切り離し、システム担当者の指示に従いマルウエ
アを駆除してください。駆除が困難な場合は、クリーンインストールの
実施を検討してください。
※ マルウエアに感染した PC は、外部から別のマルウエアをダウンロード
するため、感染が確認された場合、複数のマルウエアに感染している可
能性があります。
- マルウエアの駆除後、使用する PC の OS やインストールされているソ
フトウエアを最新の状態に更新してください。
- ウイルス対策ソフトの定義ファイルを最新の状態に更新し、ウイルス検
知機能が有効になっていることを確認してください。
[マルウエアに感染していない場合]
- 使用する PC の OS やインストールされているソフトウエアが最新かど
うか確認し、必要に応じて最新の状態に更新してください。
- ウイルス対策ソフトの定義ファイルを最新の状態に更新し、ウイルス検
知機能が有効になっていることを確認してください。
V. 参考情報
トレンドマイクロ セキュリティ ブログ
国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム
http://blog.trendmicro.co.jp/archives/3723
*** 更新: 2010年10月27日追記 ****************
ドライブ・バイ・ダウンロード攻撃で感染する”mstmp”ウイルスについて
https://www-950.ibm.com/blogs/tokyo-soc/entry/dbyd_mstmp_20101027?lang=ja
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2010-10-27 初版
2010-10-27 概要と参考情報に追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
