JS_OBFUS.AB

感染経路：ソーシャル･ネットワーキング・サイト（SNS）を介した感染活動

マルウェアは、ソーシャル・ネットワーク・サービス(SNS)「Facebook」を介して、コンピュータに侵入します。

マルウェアは、国際テロ組織アルカイダの最高指導者ウサマ・ビンラディン容疑者の死亡に関するニュースを利用し、ユーザを誘導します。

マルウェアは、Javaスクリプトです。マルウェアは、感染したユーザが利用するFacebookの「ウォール（Facebookの各ユーザに与えられる『掲示板』のような機能）」にメッセージを投稿し、ユーザが不正なリンクをクリックするよう促します。

またマルウェアは、感染ユーザの「友達」へチャットメッセージを送信することによって、感染活動を行います。

マルウェアは、ユーザを不正なWebサイトへ誘導します。

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

侵入方法

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、Javaスクリプトです。マルウェアは、感染したユーザが利用するソーシャル・ネットワーク・サービス(SNS)「Facebook」の「ウォール（Facebookの各ユーザに与えられる『掲示板』のような機能）」にメッセージを投稿し、ユーザが不正なリンクをクリックするよう促します。

マルウェアは、以下のメッセージを投稿します。

• Osama Bin Laden killed live on a news broadcast! watch the video: http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486
• Top Osama Video Viewers:
  {name} - 1136 views
  {name} - 983 views
  {name} - 542 views
  {name} - 300 views
  See who views your profile
  http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486

マルウェアは、感染ユーザのFacebook上の「友達」へ以下のチャットメッセージを送信することによって、感染活動を行います。

• {first name} watch the video of them killing osama bin laden live!facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/18557671149048

マルウェアは、以下のような「イベント」を作成します。

• Name: OSAMA BIN LADEN DEAD VIDEO
  Description:
  Hey everyone,
  Osama Bin Laden Killed Live On A News Broadcast!
  go here! - http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486
  
• Name: Osama dead video views: {random number}
  Description: Now You can see the live osama video @ http://www.facebook.com/pages/{BLOCKED}Bin-Laden-Killed-Actual-Video/185576711490486

ユーザが、投稿されたメッセージ内のリンクを誤ってクリックすると、以下のFacebookページが表示されます。

このFacebookページは、ユーザにあるスクリプトをコピーし、自身のブラウザのアドレスバーに貼り付けるよう指示します。この指示に従うと、このマルウェアとして検出される他のJavaスクリプトが実行されます。

マルウェアは、以下の不正なWebサイトへユーザを誘導します。

• http://{BLOCKED}4.{BLOCKED}2.24.211/OsamaDead.php