|
『/*LGPL*/』(『/*GNU GPL*/』)や『/*CODE1*/』の改ざんは、特段大きな動きはないんですが、”べつになんでもないこと”さんの記事「改竄いろいろ」にて提示されてる画像の中で、上の方の生のインラインフレームのコードは、手元のチェッカーのサイト2ヶ所に挿入されてるので、ちょっと追ってみました。 hXXp://4analytics●ws/in.cgi?8 ↓ リダイレクト hXXp://steggba●com/4/index.phpリダイレクトされると、難読化されたコードが出現します。アクセス制限がかかっていて、2度目はGoogleに飛ばされちゃう。で、その難読化を解除すると、ウイルス本体を発動させるために「Adobe Reader」「Adobe Flash Player」「Java」「Microsoft MDAC」「Microsoft Office Snapshot Viewer」あたりを悪用する処理が出現します。 AdobeやJavaの処理はソフトウェアのバージョンをきっちりチェックして、読み込ませる不正なデータを生成してます。
最終的に発動してしまうウイルス本体は「update.exe」(VirusTotal)で、それによりシステムフォルダに「sdra64.exe」(VirusTotal)が投下されました。検索してみると、海外の銀行関連の情報を盗む目的をもったウイルスみたいですな。(ZeuS/Zbot?) |
|||||
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
