本件のjavascriptは一番沢山発見されたマルウェアjavascriptです、目的ははその他マルウェアサイトへ転送する事です。
仕組みは、例えば、下記のマルウェアに感染されたHTMLページの画像をご覧下さい↓
↑実はここに書いたのはアクセスが来たら「www212.americanexpress.com.dll.kz/mydata/form/apisrv.php」のURLへ転送しますと。本件のマルウェアjavascriptはアメリカンエクスプレス・クレジットカードの詐欺仕組みで結構使われているコードです。因みに上記のURLをクリックしてしまうとPHPの中にまた別のjavascriptが動いて、別のマルウェアページに飛ばされてしまいます。上記のサンプルにご注意して頂きたいのは「location.href」の単語です。
2)マルウェアをダウンロードさせるjavascript
このマルウェアjavascriptは一番見難いjavascriptです。例えば下記のサンプルですが↓
↑マークされた所はダウンローダーの部分です。実のドメイン名は書いてませんが「load.php」の中に書いてあります。
このスクリプトを実行するとload.phpにあるjavascriptを実行されて、ドメイン名+「path」「マルウェアファイル.exe」ファイルをダウンロードしてしまう状況です。
上記形のjavascriptダウンローダーが多いです。上記の仕組みですと「GET」HTTPコマンドと「***.exe」ファイルを注意点になります。
つづく
0 件のコメント:
コメントを投稿