<   2013年 03月 ( 31 )   > この月の画像一覧
ESET Smart SecurityでJS/Kryptik.AHGを検知
相当久しぶりの更新です。なんやかんやで随分サボってましたorz


一週間ほど前になるんですが、とあるユーザが2ちゃんのまとめサイト(暇人速報)を見てて、ウイルス脅威アラートを検知しました。
ESET Smart SecurityではJS/Kryptik.AHGとして検知しました。

Chromeでアクセスすると、暇人速報はGoogle Safe Browsing APIによって危険サイトにされてしまっていました。
ちなみに、これと関係があるのかどうかわかりませんが、毎日jpやマイナビニュース、オリコンスタイル、はちま起稿、piaproなどもGoogle Safe Browsing APIでブロックされたようです。

さて、詳細を調査してみました。

プロキシのログを見るとどうやら、暇速内のフレーム(http://himasoku.com/ueko.htm)にから脅威となったURLにアクセスしたようです。
脅威となったURLは http://adf.send.microad.jp/ajs.php?zoneid=4331&snr=2&cb=92173025177&charset=_autodetect&loc=http://himasoku.com/ueko.htm&referer=http://himasoku.com/archives/xxxxxx.html となってました。

このajs.phpがどういう動きをしているのかわからなかったんですが、おそらくユーザエージェントやIPを判断して、悪質なJavaScriptをダウンロードさせるようなものだったようです。


このダウンロードされたJavaScriptコードをESET Smart Securityが隔離していたので、コイツを分析してみました。

JavaScriptの中身は通常の広告ページを表示するものと、noscript環境でimgを表示するもの(このimgのソースが昨今ESET検知で騒がれたd.href.asiaにアクセスしてました)、そして、文字コードの羅列で難読化された部分が存在していました。

難読化部分を解読すると、ブラウザやOSの情報を取得するメソッド、クッキーを追加・検索するメソッド、メインコードがあります。メインコードには、(ブラウザ==Firefox || ブラウザ==Explorer) && OS=Windows && 任意のクッキー(geo_idn", "c48a765e4f75baeb85f0a755fc3ec09c")が見つからない場合に、任意のクッキーを追加し、フレームでアダルト的な広告(http://adsmin.becompany.org/banners.cgi?advert_id=1&banner_id=2&chid=341aa8fca26bcff7830499c1c5f8e359)を表示するようになっていました。広告のリンク先は、http://senzapudore.net となっており、すでにコンテツが削除されていました。


結局、何か別のマルウェアをダウンロードするようなものでもなく、ESETがそのJavaScriptを実行前に隔離してしまったので、実害はなかったようです。


似たような事例がChrome 不正なソフトウェアによるサイトブロックに載ってました。

広告は悪用されるとホント怖いですね。。。
[PR]
by Jehoshaphat | 2013-03-12 08:52 | 豆知識 | Trackback | Comments(0)