拾ったスクリプトによる現在のVirusTotal状況。
スクリプトのみで本体はわかりましぇん。
このphpファイルは見に行くたびに変わりますが、カスペルスキーさんはまるで「おれにまかせろ」状態。かっこいい。
ファイル名もたぶんランダム生成なのでこのパターンしかないわけじゃないことに注意。
拾ったのが偶然これだったってだけなんだからね＞＜

paranormal.php　29734 bytes　[9/40]
http://www.virustotal.com/jp/analisis/a9be06660025066051cdfb588acae4f56535b35f14ed905fee9d0c4527613083-1256048019

styles.php　882 bytes　[4/41]
http://www.virustotal.com/jp/analisis/daf706d6bbd9c47b0eff7dcfc486d5810b2b3ffc2a1081319df1806804af4b0c-1256047632

post_config.php　837 bytes　[4/41]
http://www.virustotal.com/jp/analisis/031ef47a31c05bd6fe3c1b36669eadc3d79b8dd905d3ec1bcfd2e611939a4c9d-1256048377

カスペルスキーはオールGumblar判定。
他はヒューリスティックだったりGumblarだったりマチマチ。

まだVirusTotalには反映されていませんがparanormal.phpについてはAviraもJS/Dldr.Gumblar.wと判定がでました。
しかしstyles.phpがCLEANとのことなので、現在判定待ちのpost_config.phpが気になるところ。
Comodoも提出してみましたが返事はこないのでちょっとわかんないです。

paranormal.phpだけサイズが大きいんですが、これは17日夜採取でタイミングが違うからかな？
styles.phpは18日夜、postconfig.phpは20日昼間。

んで、これはとりたてほやほや。
post_config.php　2032 bytes　[1/41]
http://www.virustotal.com/jp/analisis/7c53808aa905bb3c22dae45c01f57c2a1f2416cf012ec6362cc9a8970d6ef564-1256049189

post_config.phpの差は有志の方が各ベンダーに提出してくださったのでその結果が出たのかもしれません。
しかしランダム生成っぽいからカスペルスキーみたいな対応にしないとキリがないよなあ・・・。

個人で行う対策については前の日記を見てね！