パスワードを忘れた? アカウント作成
80803 submission
セキュリティ

Geno(PC通販ショップ)のサイトがクラック被害 45

タレコミ by pluto
pluto 曰く、

今のところ以下のサイトしか記事が見当たらない。
http://getnews.jp/archives/8719
4/4朝(詳細時刻不明)、GenoというPC通販ショップのサイトが乗っ取られた模様。
それによりトップページに何らかのマルウェアが仕込まれた。
#現在はメンテナンス中と表示されるようだ
このマルウェアは新型であり一部のアンチウィルスが検知できる
ようになったが、まだほとんどのソフトが未対応である。
また検知はできても削除は対応していないため感染した際には
OSのクリーンインストールが推奨される。

今回の手法はAdobe Readerの脆弱性をついたスクリプトによって
マルウェアのインストールを行う模様であるが詳細は不明。
ラトビアへのトラフィックを飛ばすとのことである。

価格.comであったときと同様に他サイトでも被害が
あると思われるので注意が必要だ。
ユーザの対策としてはjavascriptをOFFにする、OSや各ソフトの
更新を最新にするなどがあげられる。

--------------------
#いろいろ不明でうまくまとめられなくてすいません。
#情報たらないからもう少し待ってから載せたほうがいいのかな。
#2chだと右記です。http://tsushima.2ch.net/test/read.cgi/news/1238979735/
#感染しはじめた時刻(1つ前から表示) http://pc11.2ch.net/test/read.cgi/jisaku/1231510507/718-
---
http://tsushima.2ch.net/test/read.cgi/news/1238979735/613によるまとめ
(1)感染したWebページをひらく

(2)感染したjsが、94.247.2.195の改変jquery.jsを実行

(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)

(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開

(5)bufferOverrunでウィルス本体の起動を試行

対策
AcrobatReader/Flashを最新版に
WindowsUpdate
94.247.2.195(94.247.2.* 94.247.3.*)への接続を遮断
---
被害の状況を見るとだいたい正しそう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • うっかりオペミス等でaffectedな状態に戻らないとも限らないのに、なんでわざわざリンク張るんでしょうね。
    • 「押すなよ!絶対に押すなよ!」っていうことかね。
      アホすぎる。

      親コメント
    • by Anonymous Coward
      /.Jerにそんなアホはいないよ
    • by Anonymous Coward
      ふつー、Flashに限らず、その手のはdisableにしてるだろ。
      • by Anonymous Coward

        > ふつー、Flashに限らず、その手のはdisableにしてるだろ。

        コミュニケーション能力とか社会性ですね?

      • by Anonymous Coward

        Webブラウジングの用途によっては、FlashやJavaがないと用途を足せないということがあるので、
        わざわざDisableすることがふつうではないと思いますが? (私の場合、FXや株に必ず必要)

        • by Anonymous Coward

          うちは Firefoxの FlashBlock 拡張とかつかってブロックしてる.
          これはホワイトリストで有効にできるんで必要なとこだけ登録して動かすことができる.

          # まーそんなものもあるって話で

  • by pluto (24933) on 2009年04月07日 13時44分 (#1545138) 日記

    たれこんだときはメンテ中だったんですが
    解決しないまま再開してしまっている状況です。
    該当サイトにはアクセスしないでください。
    また短縮URLによるGenoへの転送等もあるようなので
    注意してください。

  • GENOサイトとは (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2009年04月07日 14時45分 (#1545176)
    危険きわまりない
    • by Anonymous Coward
      37564だとかkill them allとか書いて欲しかったです。
  • いつの段階で出たかはわかりませんが、実際のサイトはまだ怖いので転載します。
    なお「ブラウザキャッシュのリセット」は、それぞれ操作方法の案内画像へのリンクになっていました。

    お客様へ

    4月4日、4月7日に当社のwebサイトに外部より不正アクセスが有り、一部のプログラムに不具合が生じ、当社のHP以外のページへリンクされる状態が発生しました。ご迷惑をおかけし申し訳ございません。
    現在は外部からのアクセスができないように対処いたしました。
    現在すべてのプログラムは正常となっております。
    すべてのプログラムチェックの為、復旧に時間がかかりましたことを重ねてお詫び申し上げます。

    又、旧プログラムを消去するためお客様側の対処といたしましてはwebブラウザのキャッシュのリセット頂く事をお願い致します。
    ・インターネットエクスプローラー6をご利用のお客様
    ・インターネットエクスプローラー7をご利用のお客様
    ・Firefoxをご利用のお客様

    尚、サーバーのウィルス感染や個人情報の流出はございません。

    今後はセキュリティーの強化を更に徹底いたします。
    このたびは多大なるご迷惑をおかけし申し訳ございませでした。
    今後ともよりいっそうのお買い得商品の提供に邁進する所存でございます。
    GENOwebを引き続きよろしくお願い申し上げます。

    2009年4月7日
    web通販ショップ GENO

    • トップページででかいバナーでソースネクスト ウイルスセキュリティを販売してるのはどういう神経なんだろう・・・。

      • by Anonymous Coward

        我々はこれでウィルスチェックと除去を行いました。ということではないでしょうか。 (笑)

  • by Anonymous Coward on 2009年04月07日 13時41分 (#1545137)
    お詫び表示→再開後もウィルスをまき散らしていたので、今現在閉鎖中だとしても危険です。
    少なくとも各アンチウィルスベンダーの対応状況が明確になるまではアクセスするべきではありません。
    • by Anonymous Coward
      役に立たなかったアンチウイルスベンダがでしゃばらなくても、脆弱性が対策済みのものなら対策済みのものにバージョンあげればいいだけでは?
    • by Anonymous Coward
      アンチウィルスとか関係なく、もう二度とこのサイトにはアクセスしないほうがいいだろ。馬鹿が作ってる所が一番危ない。
  • 自分は怖いんで突撃しないけど、現在進行中なら早々にタレコミ文を修正したほうがいいんじゃ?
    せめてリンクはなるはやで外した方が良いかと。
  • いわゆる同人関係の個人サイトや一部企業サイトなどを中心に、再流行中です。
    大勢人が集まるサーチリンクや女性向けゲームソフト会社の公式HP感染例が、2chそのほかで報告されています。

    #友人にとりあえずの対策を助言したところ「ぶらうざってなあに?」と聞かれorz
    #でもかわいいから許す
  • by Anonymous Coward on 2009年04月07日 13時56分 (#1545145)

    Firefoxでネットをうろうろしていると、たまにHTMLのレンダリングがされずに、
    生のHTTPレスポンスヘッダを含めたHTMLが画面に出ることがあるorz

  • by Anonymous Coward on 2009年04月07日 14時19分 (#1545163)

    http://noscript.net/ [noscript.net]

    該当のプラグイン無効化も選択肢かもしれない。

    # 感染する人はこういうアドオン周りを御せないスキルの人だったりするけどね。

  • by Anonymous Coward on 2009年04月07日 14時22分 (#1545164)
    現在もリンク先から問題のページにアクセスできます(と言うか中はそのままでメンテしてる気配が無い) この状況が20時間は続いているのでリンクを外すべきだと思います。マダ危険です。
  • by Anonymous Coward on 2009年04月07日 14時47分 (#1545178)
    トップページだけ工事中にしてるだけなので
    サブディレクトリ以下のファイルはウィルス
    含んだままです。
    トップページ以外に直接ブックマークしてる人が
    大丈夫なのかと思ってアクセスすると危険です。
    • 自宅のメインマシンのOperaがGenoのNASあたりの頁を開いたままな気がするので困って見ました。
      いや、タブを全部閉じちゃえば良いんですがブックマークする必要もないけど必要なサイト(情報)開きっぱなしなので・・・orz

      #土曜日に汚染されていたとしたらすでに感染していそうな気がする。

      親コメント
      • by Mistbow (12027) on 2009年04月08日 0時34分 (#1545487)
        >自宅のメインマシンのOperaがGenoのNASあたりの頁を開いたままな気がするので困って見ました。

         LANケーブルや無線LAN等、ネットワークに接続する可能性のある
        ものを全て抜いてからパソコンやOperaを起動して、必要の無いタ
        ブを閉じてから残ったページをリロード、でどうでしょうか。
        親コメント
      • by Anonymous Coward
        プラグイン無効にしてたならセーフでは?
  • by Anonymous Coward on 2009年04月07日 14時50分 (#1545181)

    踏んだ覚えはないけど、念のためにシマンテックとカスペでオンラインスキャンかけてるけど、
    カスペのダウンロード遅すぎ。
    先生はOKって言ってくれたけどね。
    #インストール済みのセキュリティソフトはVB

    • by Anonymous Coward on 2009年04月07日 15時15分 (#1545197)
      感染してから Anti-Virus インストールしても無駄じゃない?
      いったん電源切って別のクリーンなマシンにマウントしてからチェックしないと
      親コメント
      • by Anonymous Coward
        不活性状態だとむしろチェックから漏れますよ。
        ちゃんと実行しないと。

        でも実行すると検出できなかったときに被害が拡大するジレンマ。
        もうHDDを物理的に破壊するしか安息を得る方法はないのかもしれない。
  • by Anonymous Coward on 2009年04月07日 17時48分 (#1545260)

    除去には、OSのクリーンインストールが推奨されるってすごいですね。これは注意しないと。

  • by Anonymous Coward on 2009年04月07日 18時53分 (#1545292)
    Silverlightの時代。
    • by zyugo (27657) on 2009年04月08日 1時12分 (#1545498)

      いや、冗談じゃなくセキュリティホール満載の古いプレイヤーが
      放置されて、アップデート手段が手動でしかないFlashよりは、

      MSセキュリティセンターがしつこいほど赤バッテン出して、
      自動アップデートがかかる仕組みに載ってるSilverlightの方が

      ユーザセキュリティという一点においては強いと思います。

      わざわざSilverlightを選ぶ利点、ってほとんど無いのが現状ですが、
      セキュリティと言う切り口で攻めることができるかもしれません。

      親コメント
    • by ishikawa1094 (36370) on 2009年04月07日 21時52分 (#1545414)

      確かに。

      過去に脆弱性を沢山世に送り出したM社の技術で、脆弱性祭りになるという意味ですね。納得です。

      親コメント
  • by Anonymous Coward on 2009年04月07日 21時55分 (#1545415)
    どうすればいいんだ?

    マルウェアって、どういうマルウェアかまだわかんないのかな?

    うちは、Avast! が危険なアクセスだって言ってくれたりしたので
    大丈夫だったけど。。。
  • by Anonymous Coward on 2009年04月07日 22時29分 (#1545430)

    >GENOというPC通販ショップのWebサイト

    と書かなければいけないほど説明が必要な著名性が無いサイトをわざわざストーリーにする必要性は?

  • by Anonymous Coward on 2009年04月08日 4時46分 (#1545544)

    フラッシュなんて使うなって…

    運営してる奴も直ぐには気づかないだろ
    ソース見てすぐ解析できるもの以外は公開しちゃ駄目なことにしろって

    もう怒った、もうインターネットは使わん

    • by Anonymous Coward

      もう怒った、もうインターネットは使わん

      あなたがそう書いたのは何回目でしょうか。

  • by Anonymous Coward on 2009年04月08日 11時33分 (#1545682)

    crestronjapan . com もやられてますね。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...