ワンクリウェアのJavaScript難読化コードが激しすぎ!


 なんか変なタイトル。・・・とあるエロ動画サイトを装ったワンクリック詐欺目的のサイトにて配信されてたHTAファイル(HTMLアプリケーション)を悪用するウイルス「ワンクリウェア」(駆除支援ツール)をゲットしてきて、中身をテキストエディタで確認してみたら、JavaScriptコードの難読化処理がかなりスゴイくて麦茶噴いたっ!! http://img836.imageshack.us/img836/9241/64969988.th.png


 上の画像だと、長くて収まらないので一部分の40行目で終わってますが、実際の最終行は460行近くまであります。 イメージ 2


 難読化のレベルそのものは一昔前のロシア製エクスプロイトキットによくあった程度なので、コチラで読めるよう複合化する作業自体は別にラクラク一発で可能ですが、ユーザーが”動画ファイル”と思いこんで実行してしまうであろう前にウイルス対策ソフトがこのファイルを検知&阻止するとなるとタイヘン・・・。



  1. 人間がパッと見で処理を理解できないようにする

  2. ウイルス対策ソフトからの検知逃れ

 参考までにオンラインスキャンのVirusTotalのスキャン結果がこんな感じ。ある意味で狂ってるMcAfee「Generic Script.b」のみ。 イメージ 1
> www.virustotal.com/file-scan/report.html?id=10cb62f3b915548c384130b90ecb2ca9e75b74d76a8b0641985a3c7e7d5902cc-1311253051


http://farm8.staticflickr.com/7150/6481658431_c825de1180_z.jpg


有料のアダルト動画のエロ請求登録画面が消えないのでレジストリエディタで駆除削除