JSRedir-R、Gumblar に感染したwebサイトを踏んだ件
最近になって大手企業のwebサイトでの感染報告が相次ぐ、Gumblar亜種というウィルスですが、感染したwebサイトを踏みました。
折角なのでスクリーンショットを取って、アップしてみました。
ちなみに、2009年5月頃に書いたGumblarについてのメモ。
JSRedir-R、GENOウィルス、Zlkon、Gumblar、martuzについてのメモ - kanonjiの日記
webサイトを開いたら、ダイアログ無しでAcrobat Readerが起動*1
こんなPDFファイルが開きました。
画像の通り、5月頃話題になった際に、Acrobat JavaScriptを使用しないように設定していた為、どうやら感染はしなかったようです。*2
ちなみに、その後何度かそのwebサイトにアクセスしましたが、1回しかPDFファイルは開かれませんでした。
キャッシュを消して、1日程時間を空けたら、もう一度開いたのですが、条件がよく分かりません。
2回目のPDFファイルは、似たような内容でしたが、記載されている英文は違ったものになっていました。
その時使っていたブラウザはOpera10だったんですが、OperaではJavaScriptとFlashPlayerは有効でしたが、Javaは無効にしてました。
さらにAcrobat Readerの設定で、ブラウザ内でPDFを開かないようにしていた為、基本的にPDFファイルの場合は、開くか保存するかのダウンロードダイアログが出る環境です。
それなのに、ダイアログ無しで突然Acrobat Readerが起動。
穴の多いIEを使っていたという訳じゃないので、ちょっと意外でした。
感染したwebサイトに埋め込まれていたJavaScript
難読化された上に変数名とかが、恐らくwebサイト毎に違うものを使っていると思われます。
何故か /*GNU GPL*/ と書かれているのが特徴的でした。
なお、この記事を書いている現在は、当該webサイトは修正されていました。
*1:今はAdobe Readerって名前みたいだけど、Readerって一般名詞過ぎるのであえて。
