「urlquery」で「VirusTotal」の検知理由を調べよう!
ウイルス対策ソフトがWeb閲覧中にアラートを表示したら...「VirusTotal」にサイトのURLを投げるというのはよくある話です*1。
しかし、VirusTotalでMalicious siteと表示されても、一朝一夕にその理由を知ることはできそうにありません。
そんな場合に、どうすればいいのでしょうか?
「VirusTotal」の検査結果
「urlquery」でサイト内のスクリプトをチェックしよう
「urlquery.net - URL Scanner」を使うとサムネイルに加えて、IPアドレスやASN、国情報、埋め込まれたスクリプトの解析結果などがチェック可能です。
これを見ると「Crypto currency mining script」という内容でアラートが上がっていることが分かります。
昨年末に話題になったウェブサイト訪問者のPCリソースを秘密裏に借り受けてブラウザを閉じても仮想通貨をマイニングし続ける手法が見つかる - GIGAZINEが記憶にあれば、ブラウジングした端末が仮装通貨のマイニングに知らない間に利用されるかも!とドキドキしてしまう結果ですよね。
ブラックリストの登録情報を見れば、どこで引っかかっているのか?が分かりますし、もう少し後方の調査結果を見れば、サイト内で利用されているスクリプトの個別の調査結果を知ることができます。
「urlquery」の調査結果がNo alerts detectedと表示されていても、Blacklistsの項目がMalwareやPhishingと表示されているものもありますが、サイトの中の情報をもう少し詳しく知りたい!という場合には有用なサイトだと思いますので、怪しいサイトに出会った際には一度使ってみてみてはいかがでしょうか?
今日紹介したサイトのURL
サイト名 | URL |
VirusTotal | https://www.virustotal.com/#url |
urlquery | http://urlquery.net/ |
*1:ただし一部界隈の人に限る