ハルコタン紀行

インジェクション

9494iei.cn 2009-04-24
94makelove.com.cn 2009-04-24
94mekelove.cn 2009-04-24
oo993op.cn 2009-04-24
94makelove.cn 2009-04-22
o-ap.cn 2009-04-22
7d2b.com 2009-04-21
qczc521.cn 2009-04-21
s8m1.com 2009-04-21
yongyou100.com 2009-04-21
qczz123.cn 2009-04-20
2338kkf.cn 2009-04-18
32839eee.cn 2009-04-18
8388few.cn 2009-04-18
7f7fewf.cn 2009-04-18
9f88wf.cn 2009-04-18
dfg34.cn 2009-04-18
dsa32.cn 2009-04-18
dsg67.cn 2009-04-18
fawewe8f.cn 2009-04-18
fdg43.cn 2009-04-18
fwef222.cn 2009-04-18
gfg53.cn 2009-04-18
hdd32.cn 2009-04-18
hjf54.cn 2009-04-18
kds85.cn 2009-04-18
kfg86.cn 2009-04-18
khf84.cn 2009-04-18
ldc86.cn 2009-04-18
okh85.cn 2009-04-18
sxd65.cn 2009-04-18
exfcwz.cn 2009-04-17
uimnt.cn 2009-04-17
uyh56.cn 2009-04-17
egu8c.com 2009-04-14
fac7y.com 2009-04-14
gac4a.com 2009-04-14
meng3130.cn 2009-04-09
o-bp.cn 2009-04-08
wuc7.com 2008-11-24
wuc8.com 2008-11-24
wuc9.com 2008-11-24
badf3.cn 2008-10-28
bq346.cn 2008-10-28
vert4.cn 2008-10-28
vawh5.cn 2008-10-23
jh3v3.cn 2008-10-23
pccp7.cn 2008-10-07
94saomm.com 2008-09-07

http://xyq.fdg43.cn/1/20/index.htm
http://xyq.hjf54.cn/1/20/index.htm
http://kdx.khf84.cn/1/20/index.htm
http://kdx.kds85.cn/1/20/index.htm
http://kdx.sxd65.cn/1/05/index.htm
→(略)
 →http://c11.7d2b.com/01/v.exe
 →http://c11.7d2b.com/01/Actvev.exe
 →http://c55.7d2b.com/05/v.exe
 →http://c55.7d2b.com/05/Actvev.exe
 →http://c99.7d2b.com/09/v.exe
 →http://c99.7d2b.com/09/Actvev.exe

http://360.94makelove.cn/yahoo/q8.htm
→http://qq.94makelove.cn/new/index2.htm
 →(略)
http://360.94mekelove.cn/yahoo/q8.htm
→http://qq.94mekelove.cn/new/index2.htm
 →(略)
http://360.94makelove.com.cn/yahoo/yuntai.htm
→http://qq.94makelove.com.cn/new/index2.htm
 →(略)

2009-04-24
2009-04-22

http://3b3.org/c.js
http://3bomb.com/c.js
→http://fwef222.cn/sina/a100.htm
 →(略)
  →http://yongyou100.com/xia/f1.css

http://kdx.kfg86.cn/1/20/index.htm
http://kdx.ldc86.cn/5/x1/index.htm
→(略)
 →http://w11.s8m1.com/01/v.exe
 →http://w11.s8m1.com/01/Actvev.exe
 →http://w55.s8m1.com/05/v.exe
 →http://w55.s8m1.com/05/Actvev.exe
 →http://w99.s8m1.com/09/v.exe
 →http://w99.s8m1.com/09/Actvev.exe

http://360.qczc521.cn/yahoo/q8.htm
→http://qq.qczc521.cn/new/index2.htm
 →(略)

2009-04-22
2009-04-21

http://wmg.hdd32.cn/1/20/index.htm
http://kdx.okh85.cn/5/x1/index.htm
→(略)
 →http://xy1.gac4a.com/01/v.exe
 →http://xy1.gac4a.com/01/Actvev.exe
 →http://xy5.gac4a.com/05/v.exe
 →http://xy5.gac4a.com/05/Actvev.exe
 →http://xy9.gac4a.com/09/v.exe
 →http://xy9.gac4a.com/09/Actvev.exe

http://qq.qczz123.cn/yahoo/q8.htm
→http://163.qczz123.cn/new/index2.htm
 →(略)
  →http://3.meng3130.cn/cs/ok.css

2009-04-21
2009-04-20

http://wmg.dsg67.cn/1/20/index.htm
http://wmg.dsa32.cn/5/x1/index.htm
→(略)
 →http://w01.fac7y.com/01/v.exe
 →http://w01.fac7y.com/01/Actvev.exe
 →http://w05.fac7y.com/05/v.exe
 →http://w05.fac7y.com/05/Actvev.exe
 →http://w09.fac7y.com/09/v.exe
 →http://w09.fac7y.com/09/Actvev.exe

http://a.94saomm.com/js.js
→(略)
 →http://b.wuc9.com/ac.css

2009-04-20
2009-04-19

http://qwr1.cn/
→http://wmg.dfg34.cn/1/20/index.htm
 →(略)
  →http://ww1.egu8c.com/01/X.exe
  →http://ww1.egu8c.com/01/ActveX.exe
http://badf3.cn/
http://pccp7.cn/
http://vawh5.cn/
http://vert4.cn/
→http://wmg.dfg34.cn/d1/19/index.htm
 →(略)
  →http://ww1.egu8c.com/01/X.exe
  →http://ww1.egu8c.com/01/ActveX.exe
http://bq346.cn/
http://jh3v3.cn/
→http://wmg.gfg53.cn/d5/x1/index.htm
 →(略)
  →http://ww5.egu8c.com/05/X.exe
  →http://ww5.egu8c.com/05/ActveX.exe
1段目の古いドメイン群は大量にありそうですが
いずれかを追尾していればバイナリまで辿り着けるため
積極的には探さないことにします。
バイナリは今のところ
http://ww1.egu8c.com/01/ActveX.exe
http://ww1.egu8c.com/01/X.exe
http://ww5.egu8c.com/05/ActveX.exe
http://ww5.egu8c.com/05/X.exe
http://ww9.egu8c.com/09/ActveX.exe
http://ww9.egu8c.com/09/X.exe
の3つです(ActveX.exeとx.exeはそれぞれ
ActveI.exeとi.exeに交互に名前を変えます)。
中身は途中でこんなことになっています。

2文字ずらしたPEヘッダです。ドロップする際に戻すのでしょう
(MZ~This program cannot be run in DOS mode~に)。

これとそっくりなのが以下の物。
http://q.94saomm.com/js.js
→http://371gw.com/pai/fs.htm
 →(略)
  →http://a.wuc9.com/ab.css
1段目の94saommはサブドメインが大量にあります(a、b、etc.)。
2段目の371gwは普通の商用サイトです
(この2段目は頻繁に変わります)。
http://a.wuc9.com/tt.txt

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/04/19(日) 23:59:58|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<インジェクション | ホーム | インジェクション>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/126-741ec745
この記事にトラックバックする(FC2ブログユーザー)