Trend Micro Security

JS_OBFUS.AB

2011年5月3日
 解析者: Erika Bianca Mendoza   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 ソーシャル・ネットワーキング・サイト(SNS)を介した感染活動

感染経路:ソーシャル・ネットワーキング・サイト(SNS)を介した感染活動

マルウェアは、ソーシャル・ネットワーク・サービス(SNS)「Facebook」を介して、コンピュータに侵入します。

マルウェアは、国際テロ組織アルカイダの最高指導者ウサマ・ビンラディン容疑者の死亡に関するニュースを利用し、ユーザを誘導します。

マルウェアは、Javaスクリプトです。マルウェアは、感染したユーザが利用するFacebookの「ウォール(Facebookの各ユーザに与えられる『掲示板』のような機能)」にメッセージを投稿し、ユーザが不正なリンクをクリックするよう促します。

またマルウェアは、感染ユーザの「友達」へチャットメッセージを送信することによって、感染活動を行います。

マルウェアは、ユーザを不正なWebサイトへ誘導します。

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

  詳細

ファイルサイズ 24,516 bytes
タイプ JS
発見日 2011年5月2日
ペイロード URLまたはIPアドレスに接続, メッセージボックスの表示

侵入方法

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、Javaスクリプトです。マルウェアは、感染したユーザが利用するソーシャル・ネットワーク・サービス(SNS)「Facebook」の「ウォール(Facebookの各ユーザに与えられる『掲示板』のような機能)」にメッセージを投稿し、ユーザが不正なリンクをクリックするよう促します。

マルウェアは、以下のメッセージを投稿します。

  • Osama Bin Laden killed live on a news broadcast! watch the video: http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486
  • Top Osama Video Viewers:
    {name} - 1136 views
    {name} - 983 views
    {name} - 542 views
    {name} - 300 views
    See who views your profile
    http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486

マルウェアは、感染ユーザのFacebook上の「友達」へ以下のチャットメッセージを送信することによって、感染活動を行います。

  • {first name} watch the video of them killing osama bin laden live!facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/18557671149048

マルウェアは、以下のような「イベント」を作成します。

  • Name: OSAMA BIN LADEN DEAD VIDEO
    Description:
    Hey everyone,
    Osama Bin Laden Killed Live On A News Broadcast!
    go here! - http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486
  • Name: Osama dead video views: {random number}
    Description: Now You can see the live osama video @ http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486

ユーザが、投稿されたメッセージ内のリンクを誤ってクリックすると、以下のFacebookページが表示されます。

このFacebookページは、ユーザにあるスクリプトをコピーし、自身のブラウザのアドレスバーに貼り付けるよう指示します。この指示に従うと、このマルウェアとして検出される他のJavaスクリプトが実行されます。

マルウェアは、以下の不正なWebサイトへユーザを誘導します。

  • http://{BLOCKED}4.{BLOCKED}2.24.211/OsamaDead.php

  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 8.135.00
VSAPI OPR パターンリリース日 2011年5月3日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「JS_OBFUS.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください