※下記の情報は本当のマルウェアーサイトの情報基づきの詳しい調査説明です。
※インターネットセキュリティーエキスパートなら下記の情報を読んで頂ければOKですが、ドメインやURL情報に本当のマルウェアの物が動いてるなのでリスクについて私は取りません。
※何故かこの情報出したかとセキュリティー情報とマルウェアーの理解の為に情報を流します。
「318x.com」、「708.net」、「z360.net」、「3b3.org」など本格的に登録されているドメインですがセキュリティー的にいたずらマルウェアサイトであり、下記のsnapshotように認識してください↓
その一覧の中に現在このメッセージ作ったら「z360.net/c.js」のサイトは未だ本格的に動いてます。確認の為に次の検索URLをGoogleに投げると「http://www.google.it/search?hl=en&safe=off&client=firefox-a&rls=org.mozilla%3Aen-US%3Aofficial&hs=Kbr&num=100&q=%22%3Cscript+src%3D%22z360.net%2Fc.js%22%3E%3C%2Fscript%3E%22&btnG=Search&aq=f&oq=」下記のsnapshotが出ます↓
↑自然に871,000個検索結果が出ました。
そもそもz360.netで詳しく調べたら下記のiframeとjavascript情報が発見しました↓
↑javascript@708.netが書いてありますので、実はどんな物かとjsを調査したら下記の「不具合」結果が出ました↓
↑
続いて下記のjs情報の中にあるurl「http://7o8.net/a.htm」にqueryしたら また別のredirectionが動いて下記となります↓
上記画像の赤文字URLにアクセスしたら下記のマルウェアをダウンロードされちゃいます!
※警告!!本当のマルウェアですので、やらないで下さい!!
share.html
tongji.js
それでshare.htmlが「/downhtml/a4.htm」ファイルをダウンロードして、下記のjavascriptをダウンロードしてしまいます↓
/downhtml/14.js
/downhtml/15.js
/downhtml/17.js
/downhtml/16.js
/downhtml/18.js
/downhtml/19.js
↑
さらに「14.js」がht○○://down.ismydns.com.cn:8788/down.cssのurlをcallして「"Eldorado" rootkit dropper」、windows経由のrootkitとトロイウイルスをダウンロードされてしまいます。virustotalでチェックするとこちらへ
※※本件の調査結論は下記となります↓
1)はじめてjsの中に必ずiframeが入ってます。
2)↑exploitと言いますがブラウザーのvulnerability状況を使って次のscriptに回します。
3)実際マルウェアプログラムのサイトを隠されております。何回URL飛ばされるようにするので、ブラウザーは重いと感じされます。
4)最終の来る物は本格的のウイルスやその他マルウェアの物です。実行仕方も色々あるから手で止める方法が無理で、なるべくウイルスやセキュリティー対策ソフトを有効にしたほうがいいです。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター
0 件のコメント:
コメントを投稿