ハルコタン紀行

インジェクション

mobllo.in 2010-06-23
vv01.info 2010-05-25
vv02.info 2010-05-25
vv03.info 2010-05-25
vv04.info 2010-05-25
vv05.info 2010-05-25

変わったポートを使うのが特徴でしょうか。
ファイル名はjsですが実際はexeです。
WoWやQQなどから中国国内を狙った物でしょう。


文字列を置換する関数を作成するSQLインジェクション攻撃 (IBM 東京SOC)
文字列を置換する関数を作成するSQLインジェクション攻撃に関する続報 (IBM 東京SOC)
http://www.cdbroad.com/Images/yahoo.js (削除)
http://www.wangqiao365.com/img/yahoo.js
→http://www.wangqiao365.com/img/ad.htm
 →http://www.wangqiao365.com/img/s.exe
  →http://202.109.143.79:81/s.txt

   →http://202.109.143.79:81/ma.exe

うわー。
アラド戦記(韓)
FFXI(日米欧)
MapleStory(韓)
AION(日韓)
十二ノ天(韓)
韓国を中心に複数の国にまたがって
複数のオンラインゲームのアカウントを盗みます。

2010-07-28

http://www.wangqiao365.com/img/yahoo.js
→http://www.wangqiao365.com/img/ad.htm (MS10-018)
→http://www.jiashijie.cn/img/news.html (MS10-002)
 →http://www.jwsc.cn/images/s.exe
  →http://202.109.143.16:81/s.txt

   →http://202.109.143.16:81/ma.exe

(mobllo.in = 202.109.143.16)
MapleStoryの部分が強化されていますが、基本的には同じ物です。
inドメインとyahoo.js。2677.inや4589.inの親戚かもしれません。

2010-07-30


左がダウンローダー(s.exe → プロファイル\Microsoft\smx4pnp.dll)で、
右がトロイ(ma.exe → system32\xcvaver0.dll 数字はxcvaver1.dllなど変動)です。
VMProtectで固められてしまい、覗く楽しみが減りました。


2010-08-02

http://www.wangqiao365.com/img/yahoo.js (停止)
http://www.800816.com.cn/cache/yahoo.js
→http://www.800816.com.cn/cache/ad.htm (MS10-018)
→http://www.800816.com.cn/cache/news.html (MS10-002)
 →http://www.jwsc.cn/images/s.exe
  →(略)


2010-08-03

http://www.800816.com.cn/cache/yahoo.js
→http://www.800816.com.cn/cache/ad.htm (MS10-018)
→http://www.800816.com.cn/cache/news.html (MS10-002)
 →http://www.17oye.cn/images/s.exe
  →(略)


2010-08-04

ヘルプセンターの脆弱性が追加されました。
http://www.800816.com.cn/cache/yahoo.js
→http://www.800816.com.cn/cache/ad.htm (MS10-018)
→http://www.800816.com.cn/cache/news.html (MS10-002)
→http://www.800816.com.cn/cache/hcp.html (MS10-042)

 →http://www.800816.com.cn/cache/s.hta

  →http://www.17oye.cn/images/s.exe
   →(略)


2010-08-09

http://www.gamecollege.co.kr/zboard/data/yahoo.js
→http://www.gamecollege.co.kr/zboard/data/ad.htm (MS10-018)
→http://www.gamecollege.co.kr/zboard/data/news.html (MS10-002)
→http://www.gamecollege.co.kr/zboard/data/hcp.html (MS10-042)
 →http://www.gamecollege.co.kr/zboard/data/s.hta
  →http://www.17oye.cn/images/s.exe
   →(略)


2010-08-10

http://www.gamecollege.co.kr/zboard/data/yahoo.js (削除)
http://www.successtest.co.kr/files/yahoo.js
→http://www.successtest.co.kr/files/ad.htm (MS10-018)
→http://www.successtest.co.kr/files/news.html (MS10-002)
→http://www.successtest.co.kr/files/hcp.html (MS10-042)
 →http://www.successtest.co.kr/files/s.hta
  →http://www.17oye.cn/images/s.exe
   →(略)


2010-08-11

http://www.successtest.co.kr/files/yahoo.js (削除)
http://www.yxf.me/caches/yahoo.js
→http://www.yxf.me/caches/ad.htm (MS10-018)
→http://www.yxf.me/caches/news.html (MS10-002)
→http://www.yxf.me/caches/hcp.html (MS10-042)
 →http://www.yxf.me/caches/s.hta
  →http://www.17oye.cn/images/s.exe
   →(略)

続く

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2010/07/19(月) 14:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<ブラウザ | ホーム | ショートカット(lnk pif)>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/201-70fb09fa
この記事にトラックバックする(FC2ブログユーザー)