../

8/4続報

最近のこのソフトは、手口が巧妙化している。 http://mondo.happytreefriends.com/watch_episodes/ の場合、ページが表示されるのに時間がかかるように見せかけ、一定時間後にダイアログが表示されるような細工をおこなっている。また、常時表示されないような工夫もしてあるようだ。このページの作者はそれに気がつかず、悪の片棒を握らせている可能性もある。

このページには、以下のような広告スクリプトを呼び出している。

http://a.as-eu.falkag.net/dat/dlv/aslmain.js

中身の一部

PluginRenderer::executePluginBlock(): Plugin #code() is not implemented.

ソースを読むと、QQbAなどのような関数が使われ、一見文字化けしているように見られるが、おそらくそういう風にカモフラージュしているのだろう。特筆すべき点は、4行目にこのスクリプトから、他のスクリプトを呼び出すことができように設計されている点だろう。

たとえば、このQQRcの関数に含まれているスクリプトのうちhttp://data.ads.t-online.de/server/asldata.jsでは、ブラウザ、IP、言語コードなどを受け取るように作られている。

そして、<div>タグをページ全体に行き渡らせるようにハイジャックし、そこから広告がページ全体に表示されるような細工がしてある。

PluginRenderer::executePluginBlock(): Plugin #code() is not implemented.

これらを組み合わせれば、広告を掲載しているページを全て上書きする事も可能である。しかも、ソースには、本来のページのソースしか表示されない(広告スクリプトが作用させるid属性は見受けられない)ため、ページ作成者も気がつかない可能性が高い。広告設置ページのデザインに近い広告をつけられた場合、そのページ作成者のコンテンツと偽造することも理論上可能である。

また、ステータスバーを見ると、確かにmondo.happytreefriends.comと頻繁に通信のやりとりが行われているように見えるため、本当に読み込みに時間がかかっているように見えてしまう。

かなりトリッキーな技である。しかし、前述したようにこれらのダイアログはすべてJavaScriptで描画しているため、そのダイアログのタイトルバーを読めば簡単にわかる。軽率にOKを押さないよう注意してほしい。なお、IE7ではどうやら効き目が無いようだ。