BitDefenderの中国サイトで使われているMooToolsです。
最後に妙な物が注入されています。
http://bit361.com/js/fw.js
→http://sdse12345.cn/j14/j14.htm
→http://sdse12345.cn/j14/new.html
→(略)
FlashPlayerやRealPlayerなど複数の脆弱性が使われているのはいつものことです。
例 IE用FlashPlayer9.0.115 http://sdse12345.cn/WIN 9,0,115,0i.swf
→http://kybbt.cn/fl.css
スキャン避けにPEヘッダに細工をするのもいつものことです
(「MZ」の「Z」が投下時に付加されます)。
疑問なのですが、このようなJavaScript(特にHTMLから独立した外部のJS)に
HTMLタグを(document.write等ではなく裸で)書いたとして、
それは解釈実行されるのでしょうか?
ブラウザが余計なお世話をしなければ解釈実行されるはずはないと思いますし、
そうだとすればこの注入は失敗だと思います。
