ハルコタン紀行

インジェクション

topix21century.com 2010-03-06
salefale.com 2010-03-01
google-analitics.net 2010-02-25


2010-03-05

http://google-analitics.net/ga.js
どこかで見たようなGoogleAnalyticsの偽物です
(urchin.jsからga.jsになっています)。
*.salefale.com に誘導されます。

2010-03-05
2010-02-24

APSB10-08 AdobeDownloadManager(getPlus)1.6.2.63
IEやFirefoxでAdobeReaderやFlashPlayerをダウンロードする時に使われる物です。

IE http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab


Fx http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.xpi


いずれのパッケージもActiveXコントロールとNetscapeプラグインの両方を含んでいます。


IEやFxでもgetPlusを使わずに配布して欲しいものです。

Opera


Safari


2010-02-24
2010-02-17

APSB10-06 FlashPlayer10.0.45.2
APSB10-07 AdobeReader9.3.1

AdobeReaderはパッチのみの提供です。
新規に導入する場合、9.3の導入後に9.3.1を適用する必要があります
(9.1~9.1.3と同様です)。更新されるファイルは2つです。
1つはauthplay.dllで、これはAdobeReaderから呼ばれるFlashPlayerです
(PDF内のFlashの再生に使われます)。
1つはAdobeプラグインのAcroForm.apiで、これが9.3.1です。

AdobeReader本体(AcroRd32.exeやAcroRd32.dll)は9.3.0のままです。
ダイアログに表示される「9.3.1」はレジストリに設定されています。
HKLM\Software\Adobe\Acrobat Reader\9.0\Installer
VersionMax
VersionMin
嘘のバージョンを表示するのも簡単ですね!

NetscapeプラグインやActiveXコントロールも9.3.0のままです。
もちろんFx3.6のプラグインチェックツールではチェックできません。
危ないATLは削除しておきましょう。


先日のオンラインゲーム向けのトロイです。
http://bbs.xcdx169.net/include/log.js
→(略)
 →http://bbs.xcdx169.net/uc/js/x.exe


増えました。


2010-02-17
2010-02-15

淡々と注入を続けるポーランド好きの人。

一部をエンコードしているので見つけにくいです(xorg.pl)。
http://neb.xorg.pl/c.js
→http://acn.bij.pl/11/891sd.htm
 →(略)
  →http://acn.bij.pl/l/ee.exe
acnの部分はとても高い頻度で変更されています。
aaa→aab→…aaz→aba→abb→…abz→aca→acb→…
ee.exeの部分も高い頻度で変更されています。
aa.exe→bb.exe→…zz.exe→aa.exe→…
このバイナリはとてもとても高い頻度で変更されています。
2つのPEヘッダを持ち、後半はUpackです。

こちらは別な物です。
http://bbs.xcdx169.net/include/log.js
→(略)
 →http://online.xywy.com/html/zh/wow/d.exe

DnF(DF)はアラド戦記(Dungeon&Fighter)です、たぶん。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2010/02/15(月) 08:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<ブラウザ | ホーム | ブラウザ>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/173-21cf0db3
この記事にトラックバックする(FC2ブログユーザー)