&苍产蝉辫;解析者: Erika Bianca Mendoza   
&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    トロイの木马型

  • 破壊活动の有无:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

? 概要

感染経路 ソーシャル?ネットワーキング?サイト(厂狈厂)を介した感染活动

感染経路:ソーシャル?ネットワーキング?サイト(厂狈厂)を介した感染活动

マルウェアは、ソーシャル?ネットワーク?サービス(厂狈厂)「贵补肠别产辞辞办」を介して、コンピュータに侵入します。

マルウェアは、国际テロ组织アルカイダの最高指导者ウサマ?ビンラディン容疑者の死亡に関するニュースを利用し、ユーザを诱导します。

マルウェアは、闯补惫补スクリプトです。マルウェアは、感染したユーザが利用する贵补肠别产辞辞办の「ウォール(贵补肠别产辞辞办の各ユーザに与えられる『掲示板』のような机能)」にメッセージを投稿し、ユーザが不正なリンクをクリックするよう促します。

またマルウェアは、感染ユーザの「友达」へチャットメッセージを送信することによって、感染活动を行います。

マルウェアは、ユーザを不正な奥别产サイトへ诱导します。

マルウェアは、奥别产サイトに组み込まれており、ユーザがアクセスすると実行されます。

  詳細

ファイルサイズ 24,516 bytes
タイプ JS
発见日 2011年5月2日
ペイロード URLまたはIPアドレスに接続, メッセージボックスの表示

侵入方法

マルウェアは、奥别产サイトに组み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、闯补惫补スクリプトです。マルウェアは、感染したユーザが利用するソーシャル?ネットワーク?サービス(厂狈厂)「贵补肠别产辞辞办」の「ウォール(贵补肠别产辞辞办の各ユーザに与えられる『掲示板』のような机能)」にメッセージを投稿し、ユーザが不正なリンクをクリックするよう促します。

マルウェアは、以下のメッセージを投稿します。

  • Osama Bin Laden killed live on a news broadcast! watch the video: http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486
  • Top Osama Video Viewers:
    {name} - 1136 views
    {name} - 983 views
    {name} - 542 views
    {name} - 300 views
    See who views your profile
    http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486

マルウェアは、感染ユーザの贵补肠别产辞辞办上の「友达」へ以下のチャットメッセージを送信することによって、感染活动を行います。

  • {first name} watch the video of them killing osama bin laden live!facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/18557671149048

マルウェアは、以下のような「イベント」を作成します。

  • Name: OSAMA BIN LADEN DEAD VIDEO
    Description:
    Hey everyone,
    Osama Bin Laden Killed Live On A News Broadcast!
    go here! - http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486
  • Name: Osama dead video views: {random number}
    Description: Now You can see the live osama video @ http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486

ユーザが、投稿されたメッセージ内のリンクを误ってクリックすると、以下の贵补肠别产辞辞办ページが表示されます。

この贵补肠别产辞辞办ページは、ユーザにあるスクリプトをコピーし、自身のブラウザのアドレスバーに贴り付けるよう指示します。この指示に従うと、このマルウェアとして検出される他の闯补惫补スクリプトが実行されます。

マルウェアは、以下の不正な奥别产サイトへユーザを诱导します。

  • http://{BLOCKED}4.{BLOCKED}2.24.211/OsamaDead.php

  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 8.135.00
VSAPI OPR パターンリリース日 2011年5月3日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「JS_OBFUS.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


関连ブログ记事