3流プログラマのメモ書き

元開発職→現社内SEの三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

ESET Smart SecurityでJS/Kryptik.AHGを検知

相当久しぶりの更新です。なんやかんやで随分サボってましたorz

一週間ほど前になるんですが、とあるユーザが2ちゃんのまとめサイト(暇人速報)を見てて、ウイルス脅威アラートを検知しました。

ESET Smart SecurityではJS/Kryptik.AHGとして検知しました。

Chromeでアクセスすると、暇人速報はGoogle Safe Browsing APIによって危険サイトにされてしまっていました。

ちなみに、これと関係があるのかどうかわかりませんが、毎日jpやマイナビニュース、オリコンスタイル、はちま起稿、piaproなどもGoogle Safe Browsing APIでブロックされたようです。

さて、詳細を調査してみました。

プロキシのログを見るとどうやら、暇速内のフレーム(http://himasoku.com/ueko.htm)にから脅威となったURLにアクセスしたようです。

脅威となったURLは http://adf.send.microad.jp/ajs.php?zoneid=4331&snr=2&cb=92173025177&charset=_autodetect&loc=http://himasoku.com/ueko.htm&referer=http://himasoku.com/archives/xxxxxx.html となってました。

このajs.phpがどういう動きをしているのかわからなかったんですが、おそらくユーザエージェントやIPを判断して、悪質なJavaScriptをダウンロードさせるようなものだったようです。

このダウンロードされたJavaScriptコードをESET Smart Securityが隔離していたので、コイツを分析してみました。

JavaScriptの中身は通常の広告ページを表示するものと、noscript環境でimgを表示するもの(このimgのソースが昨今ESET検知で騒がれたd.href.asiaにアクセスしてました)、そして、文字コードの羅列で難読化された部分が存在していました。

難読化部分を解読すると、ブラウザやOSの情報を取得するメソッド、クッキーを追加・検索するメソッド、メインコードがあります。メインコードには、(ブラウザ==Firefox || ブラウザ==Explorer) && OS=Windows && 任意のクッキー(geo_idn", "c48a765e4f75baeb85f0a755fc3ec09c")が見つからない場合に、任意のクッキーを追加し、フレームでアダルト的な広告(http://adsmin.becompany.org/banners.cgi?advert_id=1&banner_id=2&chid=341aa8fca26bcff7830499c1c5f8e359)を表示するようになっていました。広告のリンク先は、http://senzapudore.net となっており、すでにコンテツが削除されていました。

結局、何か別のマルウェアをダウンロードするようなものでもなく、ESETがそのJavaScriptを実行前に隔離してしまったので、実害はなかったようです。

似たような事例がChrome 不正なソフトウェアによるサイトブロックに載ってました。

広告は悪用されるとホント怖いですね。。。