ハルコタン紀行

インジェクション

gddxw.com 2009-10-01
ee00oo.cn 2009-09-30
pp99bb.cn 2009-09-30
ip88bb.cn 2009-09-30
nd77yy.cn 2009-09-30
wi66db.cn 2009-09-30
ij55ar.cn 2009-09-30
aeu44ry.cn 2009-09-30
kj33ijfek.cn 2009-09-24
dg22ijf.cn 2009-09-24
nm11df.cn 2009-09-24
fgddx.com 2009-09-23
fuwxh.com 2009-09-23
14647.cn 2009-09-19
28773.cn 2009-09-19
990248.cn 2009-09-19
eddxx.com 2009-09-17
exksc.com 2009-09-17
563f235.cn 2009-09-15
67i11.cn 2009-09-15
9821g9.cn 2009-09-15
983h2.cn 2009-09-15
245a34.cn 2009-09-12
2e7860.cn 2009-09-12
888b123.cn 2009-09-12
99c342.cn 2009-09-12
doinw.com 2009-09-12
doxws.com 2009-09-12


BitDefenderの中国サイトで使われているMooToolsです。

最後に妙な物が注入されています。
http://bit361.com/js/fw.js
→http://sdse12345.cn/j14/j14.htm
 →http://sdse12345.cn/j14/new.html
  →(略)
FlashPlayerやRealPlayerなど複数の脆弱性が使われているのはいつものことです。
例 IE用FlashPlayer9.0.115 http://sdse12345.cn/WIN 9,0,115,0i.swf

→http://kybbt.cn/fl.css

スキャン避けにPEヘッダに細工をするのもいつものことです
(「MZ」の「Z」が投下時に付加されます)。

疑問なのですが、このようなJavaScript(特にHTMLから独立した外部のJS)に
HTMLタグを(document.write等ではなく裸で)書いたとして、
それは解釈実行されるのでしょうか?
ブラウザが余計なお世話をしなければ解釈実行されるはずはないと思いますし、
そうだとすればこの注入は失敗だと思います。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/09/12(土) 23:59:58|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<インジェクション | ホーム | インジェクション>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/152-4b9d0aba
この記事にトラックバックする(FC2ブログユーザー)