ハルコタン紀行

インジェクション

multi-stats.info 2010-11-26
zzts.in 2010-11-24
alyoy.in 2010-11-19
social-stats.info 2010-11-17
system-stats.info 2010-11-11
security-stats.info 2010-11-05
dogsun.in 2010-11-04
world-stats598.info 2010-10-31
gddbigebbdbdcdch.in 2010-10-30
gdibeahfdfhhfbfb.in 2010-10-21
この辺の続きです。



174.139.135.78 gdibeahfdfhhfbfb.in

http://world-stats598.info/ur.php


2010-11-03

http://www.jdcmmc.com/images/img.js (削除)
http://www.cqgj.net/images/img.js
→http://www.cqgj.net/images/sky.html
→http://www.cqgj.net/images/kol.htm
 →http://www.nexcomexpo.com/upload/s.exe
  →(略)


2010-11-05

http://www.womenzz.com/images/img.js
→http://www.womenzz.com/images/sky.html
→http://www.womenzz.com/images/kol.htm
 →http://www.jxcgc.com/images/s.exe
  →http://98.126.64.186:61688/img/img.txt
IPが変わりました。
98.126.64.186 gdibeahfdfhhfbfb.in sky17.in

http://security-stats.info/ur.php


2010-11-08

http://www.96363.com/upfiles/img.js (削除)
http://www.cqgj.net/images/img.js (削除)
http://www.winitpro.com.cn/js/img.js (削除)
http://www.zzyaya.com/js/img.js (削除)
http://www.womenzz.com/images/img.js
→(略)
 →http://www.platinumchina.com/images/s.exe
  →http://98.126.64.186:61688/img/img.txt


2010-11-14

http://www.zyxyfy.com/images/pic.js
→http://www.zyxyfy.com/images/ner.html
→http://www.zyxyfy.com/images/sos.htm
 →(略)
img.jsがpic.jsになりました。

http://system-stats.info/ur.php


2010-11-17

http://www.i-mad.com/image/img.js
→http://www.i-mad.com/image/sky.html
→http://www.i-mad.com/image/kol.htm
http://www.mount-tai.com.cn/js/img.js
→http://www.mount-tai.com.cn/js/sky.html
→http://www.mount-tai.com.cn/js/kol.htm
img.jsに戻りました。
ダウンローダーは3本更新しています。
http://www.cycdc.org.cn/images/s.exe
http://www.freeholiday.com.cn/css/s.exe
http://www.platinumchina.com/images/s.exe
→http://76.73.84.2:61688/img/img.txt


IPが変わりました。
76.73.84.2 gdibeahfdfhhfbfb.in sky17.in


2010-11-21

http://www.qpbay.com/DictData/img.js (削除)
http://www.samdecaux.com/images/pic.js
→http://www.samdecaux.com/images/ner.html
→http://www.samdecaux.com/images/sos.htm
 →http://www.cnfc.com.cn/images/s.exe
  →(略)

http://social-stats.info/ur.php


2010-11-26

http://www.i-mad.com/image/img.js (削除)
http://www.samdecaux.com/images/pic.js (削除)
http://www.mount-tai.com.cn/js/img.js
→(略)
 →http://www.jxjd.gqt.org.cn/Images/s.exe
  →http://96.44.141.156:61688/img/img.txt

96.44.141.156 img1.alyoy.in img1.dogsun.in


2010-11-27

http://www.xufu9.com/image/pic.js (削除)
http://www.yiqicall.com/images/pic.js
→http://www.yiqicall.com/images/ner.html
→http://www.yiqicall.com/images/sos.htm
 →http://www.zhuti138.cn/images/s.exe
  →http://76.73.84.6:61688/img/img.txt
76.73.84.6 zzts.in

(略)→http://www.dzfl.net/images/s.exe


2010-11-28

http://multi-stats.info/ur.php


2010-11-30

IPが変わりました。
http://76.73.110.250:61688/img/img.txt
76.73.110.250 zzts.in
http://96.44.141.157:61688/img/img.txt
96.44.141.157 img1.alyoy.in img1.dogsun.in

変わらないだろうと思っていたトロイの
ファイル名も変わっています。
11月29日
ev3zxc.exe
ev3szxc10.dll
ev3szxc20.dll
11月30日
aev3zxc.exe
aev3szxc10.dll
aev3szxc20.dll
投下先はsystem32です。

やられちゃったサイトに残置されているダウンローダーの
ファイル名も変わっています。
11月11日
smx4pnp.dll
11月19日
v3smx4pnp.dll
11月27日
smx4pnp.dll
11月29日
fv3smx4pnp.dll
11月30日
ev3smx4pnp.dll
投下先はプロファイル\Microsoftです。

続く

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2010/11/01(月) 20:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<Flash | ホーム | ブラウザ>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/232-5c646631
この記事にトラックバックする(FC2ブログユーザー)