UN Start ourtiur hrgufosterについて

UN Start ourtiur hrgufoster についての覚書です。

（まず、お断りですが、この記事の記述は私の推測であり間違っている可能性があります。ご自身の判断で、あくまでも参考程度にしてください。また、何の保証も当サイトではいたしません。）

2014/06/08に、インターネット・エクスプローラー（ie）でネットを見ていると、UN Start ourtiur hrgufosterなるサイトに飛ばされました。

少し詳しく状況を説明すると、あるページを見ようとすると、MSE（マイクロソフト・セキュリティ・エッセンシャル）が、「脅威を取り除いています」なる警告を出し、その後、UN Start ourtiur hrgufosterなるサイトに飛ばされました。
（追記：正確には、飛ばされた後に警告が出たのだと思う。）

この症状は、XSSに似ており、あくまでも推測ですが、見ようとしたWEBサイトの第三者配信の広告やプラグインなどが、ウイルスに感染したことにより又は不具合により、リダイレクトが生じて、このUN Start ourtiur hrgufosterに飛ばすように仕込まれたのではないかと思います。

自分の場合、MSEが警告をだし、「脅威を取り除いた」とのことなので、心配なさそうですが、セキュリティソフトを入れていない場合には、セキュリティソフトを導入してウイルス等のスキャンをしたほうが良さそうです。

念のため、自分もMSEでスキャンしましたが、感染はなさそうでした。

また、気になる方は、ブラウザをieとは別のFireFoxやChromeなどに暫く変えてみるのもよいのではないかと思います。

なお、不用意にUN Start ourtiur hrgufosterのサイトにアクセスしないよう注意してください。そのため当該URLはここでは掲載していません。

【追記】

この件につき調べてみると、最初に見ようとしたWEBページで、特定のJavaScriptを読み込んだことにより、当該URLに飛ばされる仕組みのようです。多分いわゆるXSSなのだと思う。

【読み込んだJavaScript】
http://pre******.com/ka****/slipp***/dimm***/sanctimoni***.js

一部伏字にしてますが、これらのJavaScriptを読み込んでしまうと、GETメソッドにより、パラメータ付きで、当該URLに飛ばされてしまう。

【飛ばされた先のページ】

飛ばされたURLのページでは、Javaアプレットか何かJavaが起動し、何らかのプログラムが実行された可能性があります。

もし、セキュリティソフトを導入しておらず、なんの警告もなかった場合には、何か実行された可能性があるので、早めにセキュリティソフトなりでチェックをした方がよいと思います。

また、このページでは、入力フォームのようなものが表示されるので、何かフィッシング系のサイトなのかもしれません。

あるいは、このフォームを利用して、どこか別のURLにGETメソッドなりPOSTメソッドなりで何かをフォーム投稿させるのが目的なのかも。これは、いわゆるCSRF（クロス・サイト・リクエスト・フォージェリ）という脆弱性リスクです。

なお、このJavaScriptが仕込まれたホームページには、暫くアクセスしない方が賢明だと思います。いまだに飛ばされることがあります。

何事もなければそれに越したことはないのですが、一応、注意が必要です。

ちなみに、XSSなど、WEBアプリのセキュリティについては下記の本が一番詳しいのでご参考まで。

 

以上です。