いくつかのFC2ブログのテンプレートに新たなscriptが仕込まれています。
| <script src="http://*.web.fc2.com/stat.js"></script> |
個人のホームページのため「*」は伏せ字です。
今までは
*.blog*.fc2.com(注入)→fccja.com
となっていたのが
*.blog*.fc2.com(注入)→*.web.fc2.com(注入)→fccja.com
となっており、FC2ホームページを中継することでブログ管理者などが見逃しやすくなっています。
fc2.comのscriptとしてはFCカウンターやFC2アクセス解析などもありますので、慎重に確認したほうがよさそうです。
ついでに今後のためにエンコードしておきますね。
web.fc2.com
%77%65%62%2E%66%63%32%2E%63%6F%6D
fccja.comも更新されています。
e.js
→a.js
a.js
→a1.asp?r=http%3A//www.fccja.com/e.js (スクリプトその1)
→a2.asp?r=http%3A//www.fccja.com/e.js (スクリプトその2)
→a3.asp?r=http%3A//www.fccja.com/e.js (スクリプトその3)
*.web.fc2.com/stat.js
→b.js
b.js
→b1.asp?r=http%3A//*.web.fc2.com/stat.js (スクリプトその1)
→b2.asp?r=http%3A//*.web.fc2.com/stat.js (スクリプトその2)
→b3.asp?r=http%3A//*.web.fc2.com/stat.js (スクリプトその3)
document.referrerではなくHTTP_REFERERをこっそり見たほうがいいと思いますが、
実はリファラなど見ておらず、rに何かを入れればいいようです。
a1.asp?r=fuck (スクリプトその1)
トロイ本体も更新されています。
a.js
http://www.fccja.com/com.exe
VirusTotal
26日にはPackerを使っていましたが、23日のものに戻っています。
怪しげなPackerを使うといくつかのアンチウイルスに即ウイルス扱いされてしまうためかもしれません。
23日の記事と見比べると1週間前には対応していなかったアンチウイルスベンダのその後がわかります。
b.js
http://www.fccja.com/net.exe
VirusTotal
こちらは今朝できたばかりです(スクリプトは昨夜からありました)。
b.jsの存在までは確認していましたが、その前がわかりませんでした。
情報を提供していただけた「
おおきくなりません」に感謝いたします。
メモ:
自分でブログを作るより効果的なので他のブログに仕込むのはわかります。
しかし中継用にiframeやscriptでしか飛ばないのならvirus.web.fc2.comなどを作ってもいい気もしますが、
FC2IDの新規登録が難しいんでしょうか?
