製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス名危険度
JS/Exploit-Blacole.ht
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6836
対応定義ファイル
(現在必要とされるバージョン)
7112 (現在7544)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Avast - JS:Blacole-CX Drweb - JS.Redirector.145 Sunbelt - Trojan.JS.Obfuscator.aa Kaspersky - Trojan.JS.Iframe.AEP Drweb - JS.IFrame.454 Fortinet - HTML/IFrame.AHQ!tr.dldr Ikarus - Trojan.JS.BlacoleRef Microsoft - Trojan:JS/BlacoleRef.CZ F-Secure - JS:Trojan.Crypt.MT Kaspersky - Trojan.JS.Iframe.aen Microsoft - Trojan:JS/BlacoleRef.CZ Avira - JS/EXP.Redir.EL.7 Java script Kaspersky - Exploit.JS.Agent.bmh Microsoft - Exploit:JS/Blacole.KH Ikarus - Exploit.JS.Blacole
情報掲載日2012/09/18
発見日(米国日付)2012/09/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/30FakeAV-M.bfr...
08/30Generic.tfr!...
08/30PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・JS/Exploit-Blacole.htはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

--2013年6月13日更新---

・「JS/Exploit-Blacole.ht」はWebページに組み込まれたJavaScriptです。

・「JS/Exploit-Blacole.ht」はブラウザを悪質なWebサイトにリダイレクトするJavaScriptです。

・「JS/Exploit-Blacole.ht」は乗っ取られたWebサイトに埋め込まれている難読化されたJavaScriptです。ユーザを悪質なWebサイトにリダイレクトして他のマルウェアをダウンロードさせたり、ブラウザエクスプロイトを実行したりします。

・ユーザがJS/Exploit-Blacole.htが組み込まれている乗っ取られたサイトにアクセスするたびに、iframeにより、ブラウザを悪質なWebサイトにリダイレクトします。

・また、ランダムに生成された悪質なドメインに接続するため、以下の最新のインジェクション手法を使用します。

<!--0c0896-->
<!-- /0c0896-->

・以下は乗っ取られたWebの「djpt」divクラスidに挿入された悪質なiframeです。

http://[削除]a-ind.jp/clicker.php

--2013年6月13日更新---

・「JS/Exploit-Blacole.ht」はWebページに組み込まれたJavaScriptです。

・「JS/Exploit-Blacole.ht」はブラウザを悪質なWebサイトにリダイレクトするJavaScriptです。

・「JS/Exploit-Blacole.ht」は乗っ取られたWebサイトに埋め込まれている難読化されたJavaScriptです。ユーザを悪質なWebサイトにリダイレクトして他のマルウェアをダウンロードさせたり、ブラウザエクスプロイトを実行したりします。

・ユーザがJS/Exploit-Blacole.htが組み込まれている乗っ取られたサイトにアクセスするたびに、iframeにより、ブラウザを悪質なWebサイトにリダイレクトします。

・以下は乗っ取られたWebの「tum」divクラスidに挿入された悪質なiframeです。

hxxp://seta[削除]ura.ne.jp/050504veteran/clk.php

--2013年6月9日更新---

・「JS/Exploit-Blacole.ht」はWebページに組み込まれたJavaScriptです。

・「JS/Exploit-Blacole.ht」は「Blackhole」エクスプロイトキットのインスタンスが組み込まれた悪質なWebサイトにブラウザをリダイレクトするJavaScriptです。

・「Backhole」エクスプロイトキットはターゲットコンピュータにインストールされているソフトウェアの脆弱性を利用します。脆弱性の利用に成功すると、他の悪質なファイルをダウンロードして実行する可能性があります。

・また、ランダムに生成された悪質なドメインに接続するため、以下の最新のインジェクション手法を使用します。

<!--0c0896-->
<!--/0c0896-->

・上記のインジェクション手法により、以下のURLへのリダイレクトを行います。

  • hxxp://br[削除]fart.de/cnt.php

--2013年6月5日更新---

・「JS/Exploit-Blacole.ht」はWebページに組み込まれたJavaScriptです。

・「JS/Exploit-Blacole.ht」はブラウザを悪質なWebサイトにリダイレクトするJavaScriptです。

・ユーザがJS/Exploit-Blacole.htが組み込まれている乗っ取られたサイトにアクセスするたびに、iframeにより、ブラウザを悪質なWebサイトにリダイレクトします。

・「JS/Exploit-Blacole.ht」は乗っ取られたWebサイトに埋め込まれている難読化されたJavaScriptです。ユーザを悪質なWebサイトにリダイレクトして他のペイロードをダウンロードさせたり、ブラウザエクスプロイトを実行したりします。

・「Backhole」エクスプロイトキットはターゲットコンピュータにインストールされているソフトウェアの脆弱性を利用します。脆弱性の利用に成功すると、他の悪質なファイルをダウンロードして実行する可能性があります。

・また、ランダムに生成された悪質なドメインに接続するため、以下の最新のインジェクション手法を使用します。

<!--0c0896-->
<!--/0c0896-->

・以下は乗っ取られたWebサイトに挿入されている悪質なiframeです。

  • hxxp://jap[削除]mo.gr.jp/veherl/rel.php
  • hxxp://iris[削除].de/clik.php

--2013年6月1日更新---

・「JS/Exploit-Blacole.ht」はWebページに組み込まれたJavaScriptです。

・「JS/Exploit-Blacole.ht」はブラウザを悪質なWebサイトにリダイレクトするJavaScriptです。

・ユーザがJS/Exploit-Blacole.htが組み込まれている乗っ取られたサイトにアクセスするたびに、iframeにより、ブラウザを悪質なWebサイトにリダイレクトします。

・以下は乗っ取られたWebの「ggnwb」divクラスidに挿入された悪質なiframeです。

hxxp://gahm[削除]i.ru/count21.php

--2013年5月31日更新---

・「JS/Exploit-Blacole.ht」は任意のコードを実行できる脆弱性を利用する悪質なJavaコードです。また、Flashプラグインなど、インストールされているコンポーネントを確認し、脆弱なバージョンのFlashを探します。

・「JS/Exploit-Blacole.ht」はIframeをリモートサイトに向けさせる難読化されたJavaScriptです。

・「JS/Exploit-Blacole.ht」は乗っ取られたWebサイトに埋め込まれている難読化されたJavaScriptです。ユーザを悪質なWebサイトにリダイレクトして他のペイロードをダウンロードさせたり、ブラウザエクスプロイトを実行したりします。

・実行時、JavaScriptをロードし、iframeを利用してユーザを以下のWebサイトにリダイレクトします。

hxxp://a[削除]b.ca/_mm/dtd.php

--2013年5月30日更新---

・「JS/Exploit-Blacole.ht」はWebページに組み込まれたJavaScriptです。

・「JS/Exploit-Blacole.ht」は「Blackhole」エクスプロイトキットのインスタンスが組み込まれた悪質なWebサイトにブラウザをリダイレクトするJavaScriptです。

・「Backhole」エクスプロイトキットはターゲットコンピュータにインストールされているソフトウェアの脆弱性を利用します。脆弱性の利用に成功すると、他の悪質なファイルをダウンロードして実行する可能性があります。

・また、ランダムに生成された悪質なドメインに接続するため、以下の最新のインジェクション手法を使用します。

<!--0c0896-->
<!--/0c0896-->

・上記のインジェクション手法では、hxxp://g[削除]uias.com/imagens/count.phpへのリダイレクトにより、iframeを利用して以下の悪質なURLに接続します。

hxxp://208.69.[削除].200/4423d1aa2ce3a75ea21e3cddf9dc57f0/a.php

--2013年4月27日更新---

・「JS/Exploit-Blacole.ht」は任意のコードを実行できる脆弱性を利用する悪質なJavaコードです。また、Flashプラグインなど、インストールされているコンポーネントを確認し、脆弱なバージョンのFlashを探します。

・「JS/Exploit-Blacole.ht」はIframeをリモートサイトに向けさせる難読化されたJavaScriptです。

・「JS/Exploit-Blacole.ht」は乗っ取られたWebサイトに埋め込まれている難読化されたJavaScriptです。ユーザを悪質なWebサイトにリダイレクトして他のマルウェアをダウンロードさせたり、ブラウザエクスプロイトを実行したりします。

・上記のインジェクション手法では、以下のURLへのリダイレクトにより、iframeを利用して以下の悪質なURLに接続します。

  • hxxp://tra[削除]/hmtg.html
  • 74.53.[削除].213

--2013年4月20日更新---

・「JS/Exploit-Blacole.ht」は悪質なJavaScriptを実行できるExploit-CVE2010-0188の脆弱性を利用する悪質なJavaコードです。

・「JS/Exploit-Blacole.ht」は「Blackhole」エクスプロイトキットのインスタンスが組み込まれた悪質なWebサイトにブラウザをリダイレクトするJavaScriptです。

・「Backhole」エクスプロイトキットはターゲットコンピュータにインストールされているソフトウェアの脆弱性を利用します。脆弱性の利用に成功すると、他の悪質なファイルをダウンロードして実行する可能性があります。

・JS/Exploit-Blacole.htは、Adobe ReaderおよびAcrobat 8.x(8.2.1以前)、9.x(9.3.1以前)など、インストールされているコンポーネントのバージョンを確認し、攻撃者が未知のベクトルによりサービス拒否攻撃(アプリケーションのクラッシュ)を仕掛けたり、任意のコードを実行したりすることができるようにします。

・脆弱性の利用に成功すると、悪質なJavaScriptを実行して、他のペイロードをダウンロードします。

・実行時、他のペイロードをダウンロードするため、リモートポート(http)を介して以下のURLに接続し、Webサイトにリダイレクトし、ランダムなポート1392で受信待機を行います。

  • hxxp://man[削除]nppa.ru:8080/forum/links/column.php
  • hxxp:// man[削除]nppa.ru:8080/favicon.ico
  • hxxp://man[削除]nppa.ru:8080/forum/links/column.php?lpsv=350308350a&fezjq=3307093738070736060b&mciwuld=03&bjywtn=wrn&ntomaith=ouzq
  • u[削除]s.microsoft.com
  • f7.dd.33.st[削除]ic.xlhost.com

・また、以下の場所にファイルをドロップ(作成)します。

  • %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\8IB8LMS5\calc[1].exe
  • %Temp%\A9R6B77.tmp
  • %Temp%\exp1B0.tmp
  • %Temp%\exp1B1.tmp
  • %Temp%\exp1B1.tmp.exe
  • %AppData%\\C6B6D942\C6B6D942
  • %AppData%\KB00782382.exe

・以下はシステムに追加されるレジストリキー値です。

  • HKey_User\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\KB00782382.exe: ""%AppData%\KB00782382.exe""

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・JS/Exploit-Blacole.htという名前で検出されるJavaScriptが行う悪質な活動には、ファイル、スクリプトのダウンロードと実行などがあります。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メール、乗っ取られたWebサイトの閲覧などを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。