クリエイティブメディアWebサイト改竄事件の詳細が発表に

　3月29日にWebページの一部を改竄されていたクリエイティブメディアから，改竄内容の詳細な情報が公開された。同社のWebサイトは，3月29日5:22PMに何者かに改竄されて，3月30日0:50AMまでマルウェアに感染するおそれがあった。
　
　同ページの閲覧により感染するおそれのあったマルウェアは，JS_DLOADER.TZEとJS_AGENT.OEZの2種類（ともにトレンドマイクロの分類による名称）。
　JS_AGENT.OEZは他サイトからJS_DLOADER.TZEを読み込む。JS_DLOADER.TZEは，サイトにアクセスしVBS_DLOADER.IMZ，VBS_PSYME.IT，EXPL_REALPLAY.BF，VBS_PSYME.JJなどの侵入を促す。それぞれのマルウェアの動作は以下のように，互いを呼び合っており，レジストリを書き換え常駐するkrnp32drv.dll単体では，目立った害はないようである。おそらく，JS_DLOADER.TZEが読み込むはずのファイル（現状では読み込めない）によってスパイウェアないし，破壊活動を行うマルウェアが読み込まれるものと思われる。

JS_AGENT.OEZ
　　JS_DLOADER.TZE
JS_DLOADER.TZE
　　VBS_DLOADER.IMZ
　　　　TROJ_AGENT.KAQ
　　　　　　krnp32drv.dll を常駐させる
　　VBS_PSYME.IT
　　　　JS_DLOADER.TZE
　　　　VBS_PSYME.JJ
　　EXPL_REALPLAY.BF
　　　　TROJ_AGENT.KAQ
　　VBS_PSYME.JJ
　　　　VBS_DLOADER.IMZ
　　　　VBS_PSYME.IT
　　　　EXPL_REALPLAY.BF

　マルウェアの詳細は判明したが，ダウンローダによって読み込まれる一部のファイルはすでに削除されているので，具体的にどのような実害があったのかは不明。
　被害を受けたのはWebサーバと関連したデータベースで，同社の顧客管理および販売系のデータベースは安全であることが確認されている。

　データベースの脆弱性を利用したSQLインジェクションでJS_DLOADER.TZEからJS_AGENT.OEZを仕込むという手口は，トレンドマイクロサイトがハッキングされたときと同じものである。アンチウイルスソフトが有効であれば，ほぼ被害を免れられるものなので，アンチウイルスソフトの利用を徹底し，パターンファイルを常に最新に保つように更新をお忘れなく。

クリエイティブメディア　ウェブサイト 改竄に関するお知らせ

http://jp.creative.com/corporate/pressroom/releases/welcome.asp?pid=12912