今日のマルウェアサンプルをチェックしながら、1つのメールに添付されたマルウェアjavascriptがあり、google analyticsサービスのリンクが使われております。
添付されたjavascriptのキャップチャーは下記となります、google analyticsの情報をマークしました↓
2009年の中には「google-analytics.com/●●.js」マルウェアscriptのダウンローダー・パターンの覚えがありましたが、もう無くなったと思って今日また見つけました。このコードをde-obfuscatedしたら84 .244.138 .55にGETコマンドを投げてくれます。最初のjavascriptダウンロードの隠す為にgoogle-analytics.comを使ったと分かりました。
本件は只の情報シェアです。
ーーーーー追加情報ーーーーーーーーー
ツイッターで質問が来ました、何故かマルウェアが分かるのって、仕方が無い下記deobfuscatedの情報を見せます↓
↑マークされたサイトがマルウェアサイトですよ。アクセスをしないで下さい!!
---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究者 アドリアン・ヘンドリック
0 件のコメント:
コメントを投稿