ハルコタン紀行

インジェクション

nsina-dn3d.cn 2009-04-04
yohoo-tj3d.cn 2009-04-04
456363.com 2009-04-02
google-xmz2s.cn 2009-04-02
hao123-nsa92.cn 2009-04-02
d5hk.cn 2009-04-01
vfw3.cn 2009-04-01
ainill.cn 2009-03-31
com54v.cn 2009-03-31
com76j.cn 2009-03-31
com82c.cn 2009-03-31
com87k.cn 2009-03-31
456783.com 2009-03-30
iht2.cn 2009-03-29
mkh6.cn 2009-03-29
okn4.cn 2009-03-29
yfe5.cn 2009-03-29
0956jk.cn 2009-03-28
741239.com 2009-03-28
aswefg.cn 2009-03-28
qr911.cn 2009-03-28
serjk.cn 2009-03-28
xncvm.cn 2009-03-28
za178.cn 2009-03-28
ainiyy.cn 2009-03-26
9ke8.com 2009-03-23
nvb-iu.cn 2009-03-23
qwlmnf.cn 2009-03-23
sjfhsk.cn 2009-03-23
vxmwr.cn 2009-03-23
ainideqian.cn 2009-03-18
ainiuu.cn 2009-03-15
yasws-01.cn 2009-03-10
yasws-02.cn 2009-03-10
yasws-03.cn 2009-03-10
yasws-04.cn 2009-03-10
yasws-05.cn 2009-03-10
yasws-06.cn 2009-03-10
c-bp.cn 2009-03-06
longyitiaov7.cn 2009-03-08
qjwm88.cn 2008-09-15

http://3b3.org/c.js
http://3bomb.com/c.js
→http://www.yohoo-tj3d.cn/gua/a100.htm
 →(略)

2009-04-04
2009-04-03

http://3b3.org/c.js
http://3bomb.com/c.js
→http://www.hao123-nsa92.cn/gua/a100.htm
 →(略)

→http://www.google-xmz2s.cn/gua/a100.htm
 →(略)

http://qwr1.cn/
→http://y.d5hk.cn/d3/b1/index.htm
 →(略)
  →http://d3.456363.com/03/e.exe

2009-04-03
2009-04-02

http://3b3.org/c.js
http://3bomb.com/c.js
→http://163.com54v.cn/gua/a100.htm
 →(略)

→http://163.com76j.cn/gua/a100.htm
 →(略)

http://qwr1.cn/
→http://y.vfw3.cn/d3/b1/index.htm
 →(略)
  →http://d3.456783.com/03/g.exe

→http://y.d5hk.cn/d3/b1/index.htm
 →(略)

2009-04-02
2009-04-01

http://3b3.org/c.js
http://3bomb.com/c.js
→http://163.com82c.cn/sina/a100.htm
 →(略)

http://qwr1.cn/
→http://g.iht2.cn/d3/b1/index.htm
 →(略)

2009-04-01
2009-03-31

http://3b3.org/c.js
http://3bomb.com/c.js
→http://163.com87k.cn/sina/a100.htm
 →(略)

2009-03-31
2009-03-30

http://3b3.org/c.js
http://3bomb.com/c.js
→http://za178.cn/gua/a100.htm
 →http://za178.cn/gua/b100.htm
  →(略)
   →http://9ke8.com/xia/f1.css

http://qwr1.cn/
→http://g.mkh6.cn/d3/b1/index.htm
 →(略)

→http://g.yfe5.cn/d3/b1/index.htm
 →(略)

2009-03-30
2009-03-29

http://3b3.org/c.js
http://3bomb.com/c.js
→http://qjwm88.cn/02/02.htm
 →(略)
  →http://ainiyy.cn/02/020.exe
最近の傾向として、ある難読化されたスクリプトが
実行ファイルのURIが書いてあるスクリプトを呼ぶことが増えています。
例えば従来はms06014.htmやoffice.htmなどで完結していたものが
それぞれms06014.jsやoffice.jsを呼ぶ、などです。
上記の場合は
http://qjwm88.cn/02/yt14.htm
が呼ぶ
http://qjwm88.cn/02/14.js

http://ainiyy.cn/02/020.exe
が書いてあったりします。
私としては小汚いスクリプトをデコードする手間が減るので助かっています。
02があるのなら01や03もあるのでは、と思ったら18までありました。
http://yasws-06.cn/01/010.exe
http://ainiyy.cn/03/030.exe
http://ainiyy.cn/04/04.exe
http://ainiyy.cn/05/050.exe
http://ainiyy.cn/06/06.exe
http://ainiyy.cn/07/070.exe
http://ainideqian.cn/08/08.exe
http://ainiuu.cn/09/09.exe
http://longyitiaov7.cn/10/10.exe
http://ainiyy.cn/11/110.exe
http://ainiuu.cn/12/12.exe
http://ainiyy.cn/13/13.exe
http://ainiyy.cn/14/140.exe
http://ainiuu.cn/15/15.exe
http://ainiuu.cn/16/16.exe
http://ainiyy.cn/17/17.exe
http://ainiyy.cn/18/180.exe

http://qwr1.cn/
→http://g.okn4.cn/d3/b1/index.htm
 →(略)
  →http://d3.741239.com/03/g.exe

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/03/29(日) 23:59:58|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<インジェクション | ホーム | インジェクション>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/123-547375d6
この記事にトラックバックする(FC2ブログユーザー)