ハルコタン紀行

インジェクション

push.net.in 2010-09-08
sofar.co.in 2010-09-07
xxns1.info 2010-07-29
xxns2.info 2010-07-29
xxns3.info 2010-07-29
この辺の続きです。

2010-08-22

http://www.yxf.me/caches/yahoo.js
→http://www.yxf.me/caches/ad.htm (MS10-018)
 →http://www.niitdalian.com/images/s.exe
  →http://202.109.143.16:81/s.txt
   →http://202.109.143.16:81/ma.exe
→http://www.yxf.me/caches/news.html (MS10-002)
 →http://www.17oye.cn/images/s.exe
  →http://202.109.143.16:81/s.txt
   →http://202.109.143.16:81/ma.exe
ヘルプセンターの脆弱性を利用するhcp.htmlは
コードが単純すぎて検知されやすいためか
10日を最後に撤去されました
(なぜかs.htaは21日まで更新されています)。
ダウンローダーやトロイはPackerがASPackになり、
頻繁に更新されています。


2010-08-24

http://www.xzjiayuan.com/ad/yahoo.js
→http://www.xzjiayuan.com/ad/ad.htm (MS10-018)
 →http://www.niitdalian.com/images/s.exe
  →(略)
→http://www.xzjiayuan.com/ad/news.html (MS10-002)
 →http://www.17oye.cn/images/s.exe
  →(略)


2010-08-26

http://www.xzjiayuan.com/ad/yahoo.js
→http://www.xzjiayuan.com/ad/ad.htm (MS10-018)
→http://www.xzjiayuan.com/ad/news.html (MS10-002)
 →http://www.dadi518.com/images/s.exe
  →(略)

別件です。



2010-08-29

http://www.xzjiayuan.com/ad/yahoo.js
→http://www.xzjiayuan.com/ad/ad.htm (MS10-018)
→http://www.xzjiayuan.com/ad/news.html (MS10-002)
 →http://www.xdxny.com/image/s.exe
  →(略)


2010-09-04

おさらい
http://www.xdxny.com/image/s.exe
ダウンローダー(s.exe → プロファイル\Microsoft\smx4pnp.dll)
→http://202.109.143.16:81/s.txt

トロイ(ma.exe → system32\xcvaver0.dll 数字はxcvaver1.dllなど変動)
パケットキャプチャ(tt.exe → WinPcap + system32\nvsvc.exe)
tt.exe は試験的に okok.exe として投入されたことがある
WinPcapを用いるパケットキャプチャです。
smx4pnp.dll はAnalogDevicesConexantのSoundMaxドライバを、
nvsvc.exe はNvidiaのGeForceドライバを装ったファイル名でしょう。

今日の
http://www.xdxny.com/image/s.exe
はダウンローダーではなくなったようです。
トロイ(s.exe → system32\ole.dll system32\imm32.dll)
imm32.dll は既存の物を書き換えるようです。
主に韓国を対象としたトロイのためか、
AhnLabV3に検知されることにご立腹のようです。

F0u0c0k0V03(笑)。
VT
Hauriはもう少しがんばりましょう
(検知したのは提出後です)。


2010-09-05

いつものダウンローダーに戻りました。
http://www.xzjiayuan.com/ad/yahoo.js
→http://www.xzjiayuan.com/ad/ad.htm (MS10-018)
→http://www.xzjiayuan.com/ad/news.html (MS10-002)
 →http://www.exinwl.com/images/s.exe
  →(略)


2010-09-08

トロイの設置場所が変わりました。
http://www.exinwl.com/images/s.exe
→http://98.126.70.154:81/s.txt

(sofar.co.in = 98.126.70.154)


2010-09-09

トロイの構造が変わりました。
(ma.exe → system32\anhzxc.exe system32\anszxc10.dll system32\anszxc20.dll)
ダウンローダーはPackerが変わりました。

何ですかこれ(同じ名前のUnpackerはありますが…)。
特定の砂箱が固まるので困ります。


2010-09-11

http://www.yxf.me/caches/yahoo.js (削除)
http://www.xzjiayuan.com/ad/yahoo.js (削除)
ダウンローダーの設置場所が変わりました。
http://www.faloge.com/js/yahoo.js
→http://www.faloge.com/js/news.html
→http://www.faloge.com/js/ad.htm
 →http://www.mir3.me/images/s.exe
  →(略)


2010-09-14

http://www.faloge.com/js/yahoo.js (削除)
http://www.1webweb.com/images/yahoo.js
→http://www.1webweb.com/images/news.html
→http://www.1webweb.com/images/ad.htm
 →http://www.mir3.me/images/s.exe
  →http://98.126.70.155:81/s.txt

(push.net.in = 98.126.70.155)

続く

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2010/08/26(木) 12:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<釣り | ホーム | Shockwave>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/211-f58f0b88
この記事にトラックバックする(FC2ブログユーザー)