ハルコタン紀行

インジェクション

hongse88.com 2009-07-17
msrre.com 2009-07-17
bnret.com 2009-07-16
msrmn.com 2009-07-16
nje9.cn 2009-07-16
nje8.cn 2009-07-16
nje7.cn 2009-07-16
nje6.cn 2009-07-16
nje5.cn 2009-07-16
nje4.cn 2009-07-16
nje3.cn 2009-07-16
nje2.cn 2009-07-16
f1y.in 2009-07-15
jatrja.com 2009-07-15
nje1.cn 2009-07-15
nje0.cn 2009-07-15
ckt6.cn 2009-07-13
ckt7.cn 2009-07-13
ckt9.cn 2009-07-13
ckt0.cn 2009-07-13
kaixin8080.com 2009-07-12
7nian8.com 2009-07-11
520360yy.com 2009-07-10
fak888.cn 2009-07-08
nidhsaiodhswiwi11222.cn 2009-07-08
kill52000.com 2009-07-08
einoyy.net 2009-07-07
fdasfadf.cn 2009-07-07
fdsdffdfsf.cn 2009-07-06
ghfdghgdghd.cn 2009-07-06
uone2.com 2009-07-06
xin765.com 2009-07-04
gamecj.com 2009-06-29
ckt1.cn 2009-06-27
ckt3.cn 2009-06-27
ckt4.cn 2009-06-27
ckt5.cn 2009-06-27
bybyybyb.com 2009-06-20
ckt8.cn 2009-05-19

http://3b3.org/c.js
→http://nidhsaiodhswiwi11222.cn/aa/a100.htm
 →http://nidhsaiodhswiwi11222.cn/aa/360.htm
  →http://nidhsaiodhswiwi11222.cn/aa/he.htm (Fx)
  →http://nidhsaiodhswiwi11222.cn/aa/02.htm (IE7)
  →http://nidhsaiodhswiwi11222.cn/aa/test.htm (IE7)
  →http://nidhsaiodhswiwi11222.cn/aa/pp.htm
   →http://hongse88.com/svchost.exe
he.htmはFx3.5の脆弱性(MSFA2009-41)です。
他でも似たようなスクリプトを見かけますので、
MicrosoftVideoやOfficeWebComponentsと同様に
広く使われていると考えていいでしょう。
Fx3.5の人は3.5.1にしておきましょう。

2009-07-18
2009-07-16

http://f1y.in/j.js
→http://www.msrmn.com/dada/index.html
 →http://www.msrmn.com/dada/js.js
  →(略)
   →http://www.bnret.com/web.exe
http://www.bnret.com/web.exe

http://www.bnret.com/123.txt

foxはfox.exeの間違いです。
WoWのアカウント盗用、POL(FFXI)のアカウント盗用、
hostsの書き換えなどで構成されています。

2009-07-16
2009-07-14

http://www.fdsdffdfsf.cn/
→http://www.fdsdffdfsf.cn/test.htm
 →http://www.fdsdffdfsf.cn/go.jpg
 →http://www.fdsdffdfsf.cn/go1.jpg
  →http://www.fdasfadf.cn/new.exe
→http://www.fdsdffdfsf.cn/of.htm
 →http://www.fdsdffdfsf.cn/a.js
  →http://www.fdasfadf.cn/new.exe
go.jpg+go1.jpgは既知のMS09-032(MicrosoftVideoの脆弱性)ですが、
of.htm+a.jsはMS09-043(OfficeWebComponentsの脆弱性)を悪用するスクリプトです。


SANS-ISC(のInfoCon)が久しぶりに黄色くなりました。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/07/08(水) 12:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<インジェクション | ホーム | hellh.net>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/141-2b314e52
この記事にトラックバックする(FC2ブログユーザー)