2009年3月5日木曜日

マルウェアWebサイトのメタタグ

インデクシングロボットという、Webサイトを巡回・追跡し、それらのコンテンツをデータベースに格納し、他のWebサイトへのリンクを辿って行く自動プログラムがあります。偽のアンチマルウェア作成者は、普通は彼らのWebサイトのコードにタグを追加しないか、あるいはWebサイトがこのようなサーチロボットによってインデックスを付けられるように追加します。これによって、それらのサイトはよりアクセスされ易くなり、幅広くマルウェアを拡散できるようになります。しかし最近、私たちは全く正反対の方法を証明するケースを発見しました。サイトが気付かれずに済むようにタグが追加されていたのです。

例として以下のURLを挙げましょう: 「http://<'blocked>akedpics.blogspot.com 」

ビデオを見るためにこれをクリックすると、私たちは以下のURLにリダイレクトされ、
http://<'blocked>pomp.com/index.php?q=Adrienne-Bailon-Naked-Pics
さらにhttp://crack-<'blocked>.com (*) に、
最後にhttp://fast<'blocked>.com/xplays.php?id=40004へリダイレクトされ、
”Adware/MSAntiSpyware2009”として検出されたviewtubesoftware.40004.exeをダウンロードすることになります。

(*) このURLは、場合によって、私たちを異なるマルウェアホスティングサイトへランダムにリダイレクトします。


このURLのコードを見ると 、
http://fast<'blocked>.com/xplays.php?id=40004、
以下のタグを見つけることができます:

1.'noindexタグを記述すると、サーチエンジンはWebサイトにインデックスを付けることができなくなります(検索結果に出なくなる)。

2.'nofollowタグを記述すると、サーチエンジンはページ内のリンクをスキャンしなくなります。

3.'noarchiveタグを記述すると、Webサイトがデータベースに保管されるのを妨げます。

このようなテクニックは、マルウェアアナリストやアンチウイルスベンダーの仕事をより難しくすることを目的にしているように見えます。それらは、サーチエンジンにおいて特別なパラメータのクエリを作成することで動作するURLブロッキングのようなテクニックによって感染を防ぐというプロアクティブな防御を妨げるのに使われているのです。