JS/Obfuscated

冬コミのカタログチェックしてるうちにウイルスに感染してるページ見つけちゃって思わぬ時間を無駄にしてしまった…


さすがに見つけた以上は通知しないと!って義務感に駆られてしまうからなぁ。
知っといて無視するっつーわけにもいかんし。めんどい
いちおうサイト管理人とサーバ管理者(ISP)に通報しますた


JS/Obfuscated。トロイの木馬
<body>の後にJavaScriptが埋め込まれてしまっているようだ。分類名の通り、難読化したJavaScriptで偽装されている。ローカルなWSH環境で2段階の難読化を解除(16進文字列→unescape)してみたら、非表示IFRAMEでどっか変なURL(米国内)に飛んでくようになってた。


URLの先は、HTTPレスポンスで「200 OK」を返しつつ、「403 Forbidden」「You don't have permission to access /???/??.html on this server.」を表示するというトラップが。で、実はこっそり visibility: hidden なIFRAMEが入ってて、更に次のURLへ飛んでく。


次のURLはラトビアのIP。「302 Found」でリダイレクトして同じIPの別URLへ。


リダイレクト先は… Content-Encoding: gzip されててめんどくさくなったのでここまで。
ひょっとしてウイルス本体かな?


あ、よく知らない人は危険なので真似しちゃダメですよ。