相当久しぶりの更新です。なんやかんやで随分サボってましたorz

一週間ほど前になるんですが、とあるユーザが2ちゃんのまとめサイト(暇人速報)を見てて、ウイルス脅威アラートを検知しました。

ESET Smart SecurityではJS/Kryptik.AHGとして検知しました。

Chromeでアクセスすると、暇人速報はGoogle Safe Browsing APIによって危険サイトにされてしまっていました。

ちなみに、これと関係があるのかどうかわかりませんが、毎日jpやマイナビニュース、オリコンスタイル、はちま起稿、piaproなどもGoogle Safe Browsing APIでブロックされたようです。

さて、詳細を調査してみました。

プロキシのログを見るとどうやら、暇速内のフレーム(http://himasoku.com/ueko.htm)にから脅威となったURLにアクセスしたようです。

脅威となったURLは http://adf.send.microad.jp/ajs.php?zoneid=4331&snr=2&cb=92173025177&charset=_autodetect&loc=http://himasoku.com/ueko.htm&referer=http://himasoku.com/archives/xxxxxx.html となってました。

このajs.phpがどういう動きをしているのかわからなかったんですが、おそらくユーザエージェントやIPを判断して、悪質なJavaScriptをダウンロードさせるようなものだったようです。

このダウンロードされたJavaScriptコードをESET Smart Securityが隔離していたので、コイツを分析してみました。

JavaScriptの中身は通常の広告ページを表示するものと、noscript環境でimgを表示するもの(このimgのソースが昨今ESET検知で騒がれたd.href.asiaにアクセスしてました)、そして、文字コードの羅列で難読化された部分が存在していました。

難読化部分を解読すると、ブラウザやOSの情報を取得するメソッド、クッキーを追加・検索するメソッド、メインコードがあります。メインコードには、(ブラウザ==Firefox || ブラウザ==Explorer) && OS=Windows && 任意のクッキー(geo_idn", "c48a765e4f75baeb85f0a755fc3ec09c")が見つからない場合に、任意のクッキーを追加し、フレームでアダルト的な広告(http://adsmin.becompany.org/banners.cgi?advert_id=1&banner_id=2&chid=341aa8fca26bcff7830499c1c5f8e359)を表示するようになっていました。広告のリンク先は、http://senzapudore.net となっており、すでにコンテツが削除されていました。

結局、何か別のマルウェアをダウンロードするようなものでもなく、ESETがそのJavaScriptを実行前に隔離してしまったので、実害はなかったようです。

似たような事例がChrome　不正なソフトウェアによるサイトブロックに載ってました。

広告は悪用されるとホント怖いですね。。。