-
- いいね!1
石井栄徳
@ishiiyoshinori
たぶんこれだ。みんなダウンロードした覚えのない ChangeLog.pdf に気をつけて! http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
2009-12-26 01:24:35
石井栄徳
@ishiiyoshinori
@hidenorigoto えと、Chromeで閲覧して、不正URLへリクエストしてるのは確認できたんですが、なにせFirefoxが壊されてしまったので今VMにFirefox入れて裏取りするとこです。
2009-12-26 01:51:41
石井栄徳
@ishiiyoshinori
@meganeou 勘違いだったらごめんなさい。 ttp://blog.livedoor.jp/meganeou のブログ、サイトが改ざんされていませんか?アクセスするだけでAcrobatのゼロデイ攻撃が含まれたPDFがダウンロードされるんですが
2009-12-26 02:38:36
石井栄徳
@ishiiyoshinori
@meganeou ページで呼んでるjavascriptで動的に埋め込まれるのでわかりにくいですが、 ttp://w3-org.bramjnet.com.corriere-it.sugaryhome.ru:8080/path/to/pdf へのリンクが埋め込まれます
2009-12-26 02:41:32
石井栄徳
@ishiiyoshinori
把握した!このJSファイルが改ざんされてる! http://tools.mooter.co.jp/usr/js/mootercopy.js このファイルを呼んでいるサイト管理人様は、速やかに該当コードを削除してください。 参考: http://bit.ly/6Ibl3u
2009-12-26 03:14:40
石井栄徳
@ishiiyoshinori
【RT頼む】少なくとも首相アカウントなりすましの .@meganeou のブログ「メガネ王のblog:ぬくもり、時々、晴れ。」に改ざんされたJSコードが含まれています。閲覧時に自動DLされるPDFを開くと感染する恐れがあります【誰か頼むよ】
2009-12-26 03:19:24
石井栄徳
@ishiiyoshinori
.@egachan 本人に至急連絡とれませんか?RT 少なくとも首相アカウントなりすましの .@meganeou のブログ「メガネ王のblog:ぬくもり、時々、晴れ。」に改ざんされたJSコードが含まれています。閲覧時に自動DLされるPDFを開くと感染する恐れがあります
2009-12-26 03:24:25
@meganeou
修正しました。 RT @ishiiyoshinori 【RT頼む】少なくとも首相アカウントなりすましの .@meganeou のブログ「メガネ王のblog:ぬくもり、時々、晴れ。」に改ざんされたJSコードが含まれています。閲覧時に自動DLされるPDFを開くと感染する恐れがありま
2009-12-26 03:34:50
@meganeou
メガネ王のblog:ぬくもり、時々、晴れ。 : クリスマス一日を使って、鳩山ツイートをした経緯や感想など。 http://blog.livedoor.jp/meganeou/archives/2082083.html
2009-12-26 03:43:59
石井栄徳
@ishiiyoshinori
@meganeou @egachan 早急に対応いただきありがとうございます。 ベンダ側にも連絡しておきましたが、土日をはさむのが怖いですね。。。 RTにご協力頂いた方、ありがとうございました。この場を借りてお礼申し上げます
2009-12-26 03:46:12
@meganeou
こちらこそ大変お世話になりました。皆様をお騒がせいたしました。RT @ishiiyoshinori @meganeou @egachan 早急に対応いただきありがとうございます。 ベンダ側にも連絡しておきましたが、土日をはさむのが怖いですね。。。 RTにご協力頂いた方
2009-12-26 03:56:38
石井栄徳
@ishiiyoshinori
世間を騒がせてる例の件で訪問者が多そうなので、早めに対処していただいてよかったです RT @meganeou こちらこそ大変お世話になりました。皆様をお騒がせいたしました。
2009-12-26 04:00:55
石井栄徳
@ishiiyoshinori
.@hidenorigoto 利用者側は、とりあえず該当JSの呼び出し部分を削ればいいだけなので対応はすぐできますね。問題は、最後の1行をベンダ側がいつ削るかだと思います。http://tools.mooter.co.jp/usr/js/mootercopy.js
2009-12-26 04:07:22
石井栄徳
@ishiiyoshinori
おそらくそうでしょうね。利用者があまり多くなければいいんですけど。。。 RT @hidenorigoto @ishiiyoshinori ブログで使っていたパーツか何かのJSに混入していたということでしょうか?
2009-12-26 04:17:40
石井栄徳
@ishiiyoshinori
レスポンスヘッダからすると、改ざんされているファイルの更新日時は「2009年12月24日 10:57:57」とあるので、鳩山偽アカウント騒動のおかげですでに相当数のPCが感染してしまったのではと危惧しています
2009-12-26 04:20:01
石井栄徳
@ishiiyoshinori
【注意】現在、ここで配布されているブログパーツが改ざんされています。(この配布ページ自身、閲覧するだけで感染します!) ttp://tools.mooter.co.jp/searchbox.html この機能を使っているサイト管理者は速やかに利用を中止してください!
2009-12-26 04:39:06
石井栄徳
@ishiiyoshinori
「javascriptが壊れていたことで、ウイルスだととらえられていたようです」という追記を読む限りでは、 @meganeou は相当数のPCを感染させた可能性があるという事態を正しく理解してないととらえてよいのだろうか。。。 http://bit.ly/8CCpWh
2009-12-26 05:10:45