2007年12月01日 (土)
@IT の記事に HTML.Downloader-8: ClamAV
の誤判定
先ほど、@IT の記事を見たら、ClamXav の ClamXavSentry が HTML.Downloader-8 と判断し、ブラウザのキャッシュを隔離した。調べると誤判定らしい。
HTML.Downloader-8 は「[clamav-virusdb] Update (daily: 4961)」によると昨日(2007年11月30日)の daily: 4961 で ClamAV のウィルスデータベースに加わった。手元にある ClamAV のウィルスデータベースを覗くと次のシグネチャがある。
HTML.Downloader-8:3:*:76617220796a5f7372633d796a5f6164732b276e3f663d272b796a5f7369642b2726703d272b796a5f7072702b27266c3d272b796a5f6c6f632b2726633d72272b27266a636f64653d7326726e643d272b72616e646f6d2e67657474696d6528
これをデコードすると次の内容をエンコードしたものだとわかる。
隔離された @IT の記事のキャッシュを見ると次の箇所が該当している。
<div id="header_ad">
<!-- ad_start -->
<script language="JavaScript" type="text/javascript">
<!--
var yj_sid="784200570";
var yj_loc="ITN";
var random=new Date();
var yj_prp="jp_adn_ait";
var yj_ads="http://adserver.yahoo.co.jp/";
var yj_src=yj_ads+'n?f='+yj_sid+'&p='+yj_prp+'&l='+yj_locd='+random.getTime();
document.write('<sc'+'ript language="JavaScript" type="text/javascript" src="'+yj_src+'">');
document.write('</sc'+'ript>');
//-->
</script>
このスクリプトは http://adserver.yahoo.co.jp/n?f=784200570&p=jp_adn_ait&l=ITN&c=r&jcode=s&rnd=時刻によるランダムな数 という URL の JavaScript を実行させるものだ。その URL からは例えば次のような JavaScript コードが出てくる。
document.write("<_a href=\"http://ard.yahoo.co.jp/SIG=12cer6puc/M=300299563.300979884.302530571.300954201/D=jp_adn_ait/S=784200570:ITN/Y=jp/A=300800506/R=0/SIG=11jt60tka/*http://www.atmarkit.co.jp/misc/ct.php?id=EV7Z0713\" target=\"_self\"><img width=728 height=90 src=\"http://ai.yimg.jp/bdv/700983/676987/20071130/s9z9qlqpzh4sisumura7-a.gif\" border=0></a><br><img width=1 height=1 style=\"position:absolute;\" alt=\"\" src=\"http://b3.yahoo.co.jp/b?P=37jNXMvY997mKBrbQp91fyJq0um1cUdQuqoABeAH&T=147f0q1ff%2fX%3d1196473002%2fE%3d784200570%2fR%3djp_adn_ait%2fK%3d5%2fV%3d8.1%2fW%3d0R%2fY%3djp%2fF%3d3861916958%2fQ%3d-1%2fI%3d1%2fS%3d1%2fJ%3d66F6D8CB&U=13jhpf6sr%2fN%3dEak8AcvY9Eo-%2fC%3d300299563.300979884.302530571.300954201%2fD%3dITN%2fB%3d300800506\">");
これは要するに画像にリンクを付けたもので特に何かをダウンロードさせるものではない。実際上の @IT のページのソースにある ID 属性値から、ページ上部にあるバナー広告が生成されている。バナー広告を生成する JavaScript コードを引っ張ってくる URL と実際に生成されているバナー広告のリンク先から、これは Yahoo 提供の広告だとわかる。
恐らく、Yahoo 提供の広告の中に悪意があるスポンサーがいて、何かを悪いものをダウンロードさせるようなケースがあったのだと思う。それでそのバナー広告を載せるスクリプトの特徴あるところがウィルスデータベースに登録されてしまったのだろう。
上に書いたように、ClamAV が判定する HTML.Downloader-8 は(少なくとも現在は) Yahoo 提供の広告を検出するようになっていて、それ自体が悪意があるものではない。
Posted: 11:15 | Comment | Trackback
以下、類似エントリです。
.Mac および .Mac 配布アプリケーションを利用するためのノウハウやツールを提供しているウェブログです。iBlog の諸問題を克服し様々な機能を追加するためのツール iblogPatcher とそのプラグインや iBlog のバックアッププログラム iBlogFreezer の開発と公開、.Mac カウンタなど .Mac 提供機能の流用&カスタマイズ方法の紹介などがメインコンテンツです。
![[Valid RSS]](http://homepage.mac.com/yuji_okamura/image/valid-rss.png){kind=small}
うっかりすると駄目になってしまいます。エラーが検出されたときは Blog コメントでお知らせください。
Total entries in this category:
Published On: 2007-12-01 19:28
DotMac Counter:
