ウェブページの上部にmBBBBBBBが表示される

少し前に、自分が管理に携わってるネットワークで発生した事件．
そろそろ鎮火したっぽいので状況でも報告してみる．

様々なページの上部にmBBBBBBBという文字が表示されている．
# 本当はもっとごちゃごちゃ表示されるが、読めるのがこの文字ぐらい．
またブラウザにもOSにも依存せず，同一ネットワークの複数のマシンで同様の状況が発生する．
いつの間にか直っていたりして，発生条件が意味不明．

この現象、結論から言うと、同一ネットワーク内のホストがとあるウイルスに感染しているのが原因．最終的な駆除の部分には関わらなかったので，具体的になんていうウイルス名かは聞かなかったが，途中報告での話ではSymantecでいうところの，W32.Arpiframeとかそのあたりのウイルスに感染したホストがあったために起こったもよう．
# こいつじゃない他のウイルスのような気もするけど、まあ症状は似てる．

今回これらによる被害としては，ウイルスに感染したホストは，ARPポイゾニングを使って同一のネットワーク内の通信をフックし，HTTPコンテンツにIFRAMEを挿入してエクスプロイトをダウンロードするように強制するとSymantecのサイトには書かれている．
実際のところなんか中途半端にヘッダが書き換えられ，変なごみがついて，結果としてmBBBBBBBが表示されるだけになっちゃったっぽい．IFRAMEの挿入に失敗したのかな？ もしくはこれに似たほかのウイルスかもしれないけど．

以下ダンプして見た結果．
実際うちのネットワークでは数百ホストが同一ネットワークに接続されているが，そのすべてのトラフィックが感染した1台を経由してため，最初のルータへの1ホップのRTTが平均500msというものすごい重さになった．そしてこのウイルスに感染したホストを通過すると，HTTPコンテンツを書き換えられる．この際同時にHTTPヘッダが書き換えられて，Content-LengthとContent-Typeだけになってる．ちなみにこのContent-Lengthの書き換え，挿入分のつじつまを合わせようとしているのだろうが，なんか失敗してるっぽく，実際の長さよりも小さかったりしてる．おかげでページ下部が切れて表示されなくなったりした．
# mixiの広告部分はJavaScriptなのでスクリプト上部下部が切れてしまい，広告じゃなくソースがそのまま表示されてしまってる．他にもレイアウトやら表示が完全に崩れてしまうサイト多数．



というわけで，mBBBBBBBが表示されたら同一ネットワーク内のホスト(自分も含めて)がウイルスに感染していることを疑ってみましょう．．