searchmachine.com(Adware-GAIN)

もしかして有名な話かもしれませんけど・・・

Firefox で view-source してたら変なことに気付きました。

view-source:http//d.hatena.ne.jp/palm84/

http の後のコロン【:】の打ち忘れです。なぜかこれで view-source画面のタイトルバーの表示はhttp://www.http.com/d.hatena.ne.jp/palm84となるのです。

つまり、【:】を打ち忘れるとhttp://www.http.com/に飛んじゃうってことですね。但し、view-sourceではなく普通に入力した場合は経由せずにGoogle、または asahi.com に飛ぶようです。(ログを確認しました。)

で、ググってみましたら、http とのみ打ち込むと「www.http.com」に飛ぶとの情報がありまして、確認したんですが現時点ではFirefox、IEともに大丈夫な様でした。経由はせずにGoogle、またはMSN検索画面が開きます。

view-source時だけなら問題ないかなぁと思ってましたが・・・あぅあぅあう。Operaではhttp://www.http.com/に繋がるじゃないですか。

というわけでこのページについて調べてみました。セキュリティホールを狙うスクリプトなどはないので、それほど危険だとは思いませんけど、アドウェア付のフリーソフトのインストールを促してくる模様。(スクリプトが無効、またはポップアップのブロック機能等使っていればPopupは出ませんけど。)

Opera でJavaScript有効、ポップアップブロック無効の場合です。

  1. コロンなしのURL、または[http]とのみ入力
  2. それぞれhttp://www.http.com//d.hatena.ne.jp/palm84/http://www.http.com/に繋がる→こんなサイト(キャプチャ画像です)。フレーム内はhttp://www.searchmachine.com/index-http.html
  3. PopUpが出る→こんなの。OKボタンがあるが実際は全体が画像でクリッカブル
  4. これをクリックするとダウンロードサイトにつながる→こんなの。説明には確認画面で「Run」をクリックせよとあります。やらし〜

【追記】すみませんすみません。間違ってIEでの画像をアップしてしまいました。それと、このアドウェア付フリーソフトはOperaに対応してないみたいですので操作を誤ってもインストールされないようです。中途半端〜でゴメンナサイ。

このインストーラですがVirusTotalでチェックするとマカフィーのみ検出。検出名はAdware-Gain

まぁ「Gain」ですから、普通の(?)アドウェアなんですが、それでもやっぱりウザすぎますねぇ。注意しときまひょってことで。