JS_BLOCKER.J

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、「HTML_BLOCKER.K」として検出される不正なスクリプトをダウンロードします。この不正な不クリプトは、動画へのリンク付きの Facebook のメッセージを送信するために利用されます。

マルウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

• http://{BLOCKED}f.biz/ajax/background.js

マルウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

• TROJ_BLOCKER.J

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://www.{BLOCKED}p.us/user.php - detected as HTML_BLOCKER.K

マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://www.{BLOCKED}s.net/ajax/get.js?amtasak={value}

情報漏えい

環境設定ファイルは、以下の情報を含んでいます。

• List of URLs to be blocked

その他

マルウェアが以下のWebサイトにアクセスし、ダウンロードして実行する不正なファイルは、「HTML_BLOCKER.K」として検出されます。

• http://www.{BLOCKED}p.us/user.php

環境設定ファイルは、以下の情報を含んでいます。

• ブロックされるURLのリスト

マルウェアは、"Google Chrome"が以下のURLにアクセスするのを妨害します。

• virustotal.com
• avast.com
• eset.com
• microsoft.com
• virusscan.jotti.org
• jotti.org
• avg.com
• kaspersky.com.tr
• kaspersky.com
• facebook.com/ajax/webstorage/process_keys.php
• facebook.com/checkpoint/malware/cr_ext_config
• facebook.com/checkpoint/malware/cr_ext_log
• sansurcrx.com
• dl.dropboxusercontent.com
• sosyalmedyakusu.com
• fiddle.jshell.net
• fei-coder.com
• docs.google.com
• drive.google.com
• orjinalmarket.net
• facebook.com/ajax/follow/unfollow_profile.php
• vuupc.com
• mcafee.com
• s3.amazonaws.com
• googlecode.com

また、マルウェアは、以下の文字列を含むタグを閉じ、"Google Chrome"が拡張機能のページにアクセスすることを妨害します。

• chrome://chrome/extensions
• opera://extensions
• chrome://extensions/