wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

改ざんパターン1〜HTMLが改ざんされ,キレイにscriptタグが機能するパターン

この場合,改ざんされて埋め込まれたスクリプトが動作し,悪意あるネタをダウンロードする,というように仕向けられる.トレンドマイクロさんの場合は,JS_BLACOLE.MTとして検出されるが,オレのところはKaspersky Internet Security 2013を使っているので,Trojan-Downloader.HTML.JScript.cfとして検知された.

ちなみに今回のケース,機械的だが何らかの内容解釈を行うプログラムによって放り込まれてる感がある.というのも,内容をパースして,適切に解釈されると思われるところに放り込まれているからだ.オレが見たパターンは,コンテンツの先頭とおもわれる部分(要素)が終わる,divタグを閉じた直後に,0c0896という内容を含む内容が入り,そのあとにスクリプトが延々続く,というものだ.
なお,このパターンの場合には,悪意ある(感染を引き起こす)スクリプトブロックは1つしかない.まぁ,1つあれば充分だろう.