解析者: Kenneth Mcneil Angel   
 別名:

JS:Adware.Lnkr.A (BITDEFENDER);

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    アドウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

アドウェアは、ユーザによる特定のWebサイト上での取引を監視します。

アドウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 325,440 bytes
タイプ JS
メモリ常駐 なし
発見日 2020年9月4日
ペイロード URLまたはIPアドレスに接続

侵入方法

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

アドウェア活動

アドウェアは、以下のWebサイトにアクセスして感染コンピュータ上に広告を表示します。

  • https://{BLOCKED}rinamenya.ru/566bbee0f961ad71b54c3c2fd36db053

情報漏えい

アドウェアは、ユーザによる以下のWebサイト上での取引を監視します。

  • amazon.com
  • amazon.com.mx
  • amazon.cn
  • amazon.co.jp
  • youradexchange.com
  • websites containing boobking. , booing. , buking. , boocking. , boooking. , bookking. and booing.

その他

アドウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • During launch:
    • if http:
      • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid=&tid=7537&rid=LAUNCHED&t={time in milliseconds}
    • if https:
      • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid=&tid=7537&rid=LAUNCHED&t={time in milliseconds}
  • After the script is loaded:
    • if http:
      • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=LOADED&custom1={current hostname}&t={time in milliseconds}
    • if https:
      • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=LOADED&custom1={current hostname}&t={time in milliseconds}
  • Before sending request:
    • if http:
      • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=LOADED&custom1={current hostname}&t={time in milliseconds}
    • if https:
      • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=LOADED&custom1={current hostname}&t={time in milliseconds}
  • Request sending:
    • http://{BLOCKED}ontry.net/optout/get?jsonp=__mtz_cb_{random number from 0 to 1000000000}&key=1d71065a79cb556b40&t={time in milliseconds}
  • If response is fail:
    • if http:
      • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=OPTOUT_RESPONSE_FAIL&t={time in milliseconds}
    • if https:
      • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=OPTOUT_RESPONSE_FAIL&t={time in milliseconds}
  • If response is success:
    • if http:
      • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=OPTOUT_RESPONSE_OK&t={time in milliseconds}
    • if https:
      • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=OPTOUT_RESPONSE_OK&t={time in milliseconds}
  • After script execution:
    • if http:
      • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=FINISHED&custom1={current hostname}&t={time in milliseconds}
    • if https:
      • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=FINISHED&custom1={current hostname}&t={time in milliseconds}

アドウェアは、以下を実行します。

  • Avoids execution in the following domains that contains the following strings:
    • musvk
    • vkonline.xyz
    • vkunblock.com
    • dostup-{any combination of letters}.com
    • freevideodownloader
    • thisadsfor.us
    • olam-hamedia.tech
    • ok.ru
    • google
    • www.google
  • Avoids the following domains:
    • aypal.com
    • secure.
    • .gov
    • doubleclick.net
    • addthis.com
    • twitter.com
    • docs.google.com
    • drive.google.com
    • analytics.google.com
    • notifications.google.com
    and sends information to the following website(s):
    • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=URL_IGNOREDOMAIN&t={time in milliseconds}
    • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=URL_IGNOREDOMAIN&t={time in milliseconds}
  • Monitors the following elements of a website:
    • If "link" is "chrome-webstore-item",send information to:
      • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1orblank}&tid=7537&rid=PROMO_ANLZ&custom1={currenthostname}&custom2={currentURL}&custom3={chrome webstore item link URL}&t={time inmilliseconds}
      • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1orblank}&tid=7537&rid=PROMO_ANLZ&custom1={currenthostname}&custom2={currentURL}&custom3={chrome webstore item link URL}&t={time inmilliseconds}
    • If element "div.g" contains the following strings:
      • chrome.google.com/webstore
      • Speed Dial
      • New tab
      • start tab
      • start page
      • new page
      • home page
      • default page
      • fast dial
      • fast access
      • quick access
    • and if "a:not(.cws)" is found,send information to:
      • http://{BLOCKED}ontry.net/metric/?mid=1f608&wid=52190&sid={1orblank}&tid=7537&rid=BANNER_LOAD&t={time in milliseconds}
      • https://{BLOCKED}ontry.net/metric/?mid=1f608&wid=52190&sid={1orblank}&tid=7537&rid=BANNER_LOAD&t={time in milliseconds}
      • and Cookie "__mzglrl" is created
  • If url contains lotterysambadresult.in, it sends information to the following website:
    • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=URL_BLACKLISTED&custom1={current hostname}&t={time in milliseconds}
    • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=URL_BLACKLISTED&custom1={current hostname}&t={time in milliseconds}
  • Checks if current URL ends with the following strings:
    • jpg
    • png
    • jpeg
    • gif
    • bmp
    • doc
    • pdf
    • xls
    • js
    • xml
    • doc
    • docs
    • txt
    • css
    then sends information to the following website(s):
    • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=URL_STATICFILE&t={time in milliseconds}
    • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=URL_STATICFILE&t={time in milliseconds}
  • If the amazon websites are accessed:
    • if "/s/" and "/gp/search/" are found in the URL:
      • get "data-asin" of items
      • get search filters
      send information regarding the search query to:
      • http://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=AMZN_SEARCH&custom1={current hostname}&custom2={search keywords}&custom3={data-asin of items}&custom4={result count}&custom5={dropdownbox text}&t={time in milliseconds}
      • https://{BLOCKED}ontry.net/metric/?mid=&wid=52190&sid={1 or blank}&tid=7537&rid=AMZN_SEARCH&custom1={current hostname}&custom2={search keywords}&custom3={data-asin of items}&custom4={result count}&custom5={dropdownbox text}&t={time in milliseconds}
  • If websites with strings "boobking. , booing. , buking. , boocking. , boooking. , bookking. or booing." are accessed:
    • Redirects to http://{BLOCKED}s.me/get?key=6ae9f4bd1dc812dc713d61cba871d8e8&out=http%3A%2F%2Fbooking.com&ref=http%3A%2F%2Fgo.com&format=go&uid=rdr52190
  • Checks if current hostname contains search engine strings:
    • google.
    • search.yahoo.
    • bing.com
    • ask.com
    • shopping.yahoo
    • search.aol.
    • wow.com
    • when.com
    • search.mywebsearch.com
    • search.myway.com
    • duckduckgo.com
    • mysearch.com
    • teoma.com
    • searchlock.com
    • myprivatesearch.com
    • searchprivacy.co
    • thesmartsearch.net
    • infospace
    • safefinder.com
    • mysearchguardian.com
  • If youradexchange.com is accessed and if "a/display." string is found in the URL:
    • Redirects to http://www.{BLOCKED}exchange.com/a/display.php?r=391769&sub1=pr{parameters}
  • It gathers the following information:
    • Browser user agent
    • Browser Major Version
    • Browser name using the following browser-related strings:
      • opera
      • opera mini
      • opios
      • opr
      • kindle
      • lunascape
      • maxthon
      • netfront
      • jasmine
      • blazer
      • avant
      • iemobile
      • slim
      • baidu
      • browser
      • ms
      • ie
      • rekonq
      • chromium
      • flock
      • rockmelt
      • midori
      • epiphany
      • silk
      • skyfire
      • ovibrowser
      • bolt
      • iron
      • vivaldi
      • iridium
      • phantomjs
      • trident
      • sgecko
      • edge
      • yabrowser
      • comodo_dragon
      • micromessenger
      • xiaomi
      • miuibrowser
      • android. samsungbrowser
      • android. version
      • safari
      • chrome
      • omniweb
      • arora
      • tizenoka
      • uc
      • ucweb
      • juc
      • dolfin
      • crmo
      • crios
      • fbav
      • fxios
      • konqueror
      • webkit
      • khtml
      • navigator
      • netscape
      • swiftfox
      • icedragon
      • iceweasel
      • camino
      • chimera
      • fennec
      • maemo
      • sbrowser
      • minimo
      • conkeror
      • firefox
      • seamonkey
      • meleon
      • icecat
      • iceape
      • firebird
      • phoenix
      • mozilla
      • gecko
      • polaris
      • lynx
      • dillo
      • icab
      • doris
      • amaya
      • w3m
      • netsurf
      • sleipnir
      • links
      • gobrowser
      • ice browser
      • mosaic
    • CPU information using the following CPU-related strings:
      • amdx64
      • amdx86
      • wow64
      • win64
      • ia32
      • i346x86
      • windows ce
      • windows mobile
      • ppc
      • powerpc
      • smac
      • sun4
      • avr32
      • ia64
      • 68k
      • atmel
      • irix
      • mips
      • avr
      • sparc
      • pa-risc
    • Device type using the following device-related strings:
      • ipad
      • playbook
      • rim
      • apple
      • applecoremedia
      • apple tv
      • archos
      • gamepad2
      • hp
      • hp touchpad
      • hp tablet
      • kindle
      • nook build
      • dell
      • kfbuild
      • .*silk
      • sd0349hijorstuw
      • kf0349hijorstuw
      • iphoned
      • iphoned apple
      • blackberry
      • benq
      • palm
      • sonyericsson
      • acer
      • asus
      • dell
      • huawei
      • meizu
      • motorola
      • polytron
      • bb10
      • transfoprime
      • eeepc
      • slider
      • nexus 7
      • padfone
      • .sbuild
      • sony tablet
      • sony sgp
      • ouya
      • nintendo
      • shield
      • playstation
      • 34portablevi
      • sprint
      • lenovo 5000 or 6000
      • htc
      • zte
      • alcatel
      • geeksphone
      • huawei
      • lenovo
      • nexian
      • panasonic
      • nexus 9
      • nexus 6p
      • microsoft lumia
      • xbox one
      • kin 1tw
      • milestone
      • droid
      • bionic
      • x2
      • pro
      • razr
      • 4g
      • XT
      • nexus 6
      • mz60
      • xoom 2
      • hbbtv
      • maple
      • dtv
      • aquos
      • sch-i
      • shw-m380s
      • gt-p
      • gt-n
      • sgh-t8
      • nexus 10
      • smart-tv
      • samsung
      • galaxy nexus
      • sie-
      • maemo
      • nokia
      • n900
      • lumia
      • android 3
      • lg
      • netcast.tv
      • ideatab
      • linux
      • jolla
      • pebble app
      • android glass
      • hm note
      • mi note
      • one
      • one plus
      • note lte
      • a000
      • tablet
      • mobile safari
    • Browser engine using the following strings:
      • windows edge
      • presto
      • webkit
      • trident
      • netfront
      • netsurf
      • amaya
      • lynx
      • w3m
      • khtml
      • tasman
      • links
      • icab
      • rv
      • gecko
    • OS version using the following strings:
      • microsoft windows
      • vista
      • xp
      • windows nt
      • arm
      • windows phone os
      • windows mobile
      • ntce
      • win
      • bb 10
      • blackberry
      • tizen
      • android
      • webos
      • palm
      • sos
      • qnx
      • bada
      • rim
      • stablet
      • sos
      • meego
      • contiki
      • linux
      • sailfish
      • symbian os
      • symbos
      • s60
      • series40
      • mozilla mobile;. gecko. firefox
      • nintendo playstation
      • wids34portablevu
      • mint
      • mageia vectorlinux
      • joli
      • kxln
      • ubuntu
      • debian
      • open
      • suse
      • gentoo
      • arch
      • slackware
      • fedora
      • mandriva
      • centos
      • pclinuxos
      • redhat
      • zenwalk
      • linpus
      • chrom
      • hurd
      • linux
      • gnu
      • cros
      • sunos
      • frentopc-
      • bsd
      • dragonfly
      • haiku
      • honead
      • smac
      • sopera
      • mac os x
      • macintosh
      • mac
      • powerpc
      • open
      • solaris
      • aix
      • plan
      • s9
      • minix
      • beos
      • os
      • amigaos
      • morphos
      • risc
      • sos
      • openvms
      • unix

  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 2.333.00
SSAPI パターンリリース日: 2020年9月10日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

  • Downloader.JS.TRX.XXJSE9EFF015

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Adware.JS.REVIZER.AN」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください