ハルコタン紀行

gumblar.cn

先月、以下のようなスクリプトがいくつかのサイトに注入されていました
(実際は難読化された長いスクリプトでした)。
http://94.247.2.195/jquery.js
zlkon.lv(ラトビアのISP?)配下のIPアドレスであることから
zlkonウイルスなどと呼ばれていました。

今はいくつかのサイトに以下のようなスクリプトが注入されています。

zlkon時代と似ています。解読すると以下のようになります(整形済み)。

「.cn」ですがIPアドレスはロシアです。
WindowsでNT6以外ということで、
Vista・Server2008、7・Server2008R2は除外されます
(ME、2000、XP・Server2003までの全てのWindowsが対象です)。

この後が面白いです。

私のXP+IE8でalertすると以下のようになります。

この数字は以下のようになります。

5.8.6001.18702 → 5818702
XP+IE7では以下のようになると思います。
5.7.0.5730 → 575730
XP+IE7+KB933812では以下のようになると思います。
5.7.0.16450(GDR) → 5716450
5.7.0.20550(QFE) → 5720550
IE6+KB944338(MS08-022)では以下のようになると思います。
5.6.0.8835 → 568835

IEを通すのであればもっと簡単な方法がいくつもあります(UAを調べる、VBScriptを使うなど)が、
一般的なスクリプトデコーダやIE以外のブラウザではこの値は返らないため
「解読しているのではなく、本当にIEで表示しているのか?」を調べているものと思われます。

この後に使われる脆弱性は2つあり、いずれもAdobeのソフトウェアです。
http://gumblar.cn/rss/?id=2 (←pdf、Acrobat)
http://gumblar.cn/rss/?id=3 (←swf、Flash)
http://gumblar.cn/rss/?id=10 (←exe)
zlkon時代と同様に何らかのアクセス制御(IPアドレスやホスト名など)があるようです
(それぞれpdf、swf、exeを拾えない場合は蹴られています)。
検体の提出はしましたが、頻繁に更新されると思います。


注入されているスクリプトのバリエーション。

自動生成されていると思われるこれらを単純にパターンマッチするのは現実的ではありません。


martuz.cnに移行しました。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/05/02(土) 23:59:58|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:3
<<インジェクション | ホーム | インジェクション>>

コメント

Re: No title

今のところドメインはブラックリストに放り込まれたら
次を登録(gumblar→martuz)、みたいな感じで少ないですが
昔追ってたadw95系(asproxと言うらしい)みたいに増えたら嫌だなぁ。
  1. 2009/05/19(火) 01:31:05 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

No title

今頃になって大騒ぎになってるようですねー
対応ご苦労様です
  1. 2009/05/18(月) 09:45:47 |
  2. URL |
  3. 既にその名前は使われています #-
  4. [ 編集 ]

追記

「MEはどうなの?」という恐ろしい質問を見かけるので一部を変更しました。
スクリプト上は95もNT4もやられます(対応するAdobe製品があるかは別として)。
IE6のJScript5.6も追記しましたが、IE5.5とかは勘弁してください。
  1. 2009/05/15(金) 08:04:59 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/128-1441b15d
この記事にトラックバックする(FC2ブログユーザー)