ハルコタン紀行

インジェクション

sol-stats.info 2010-12-25
yamade.in 2010-12-24
intster.in 2010-12-19
broadbands.in 2010-12-15
ave-stats.info 2010-12-14
mol-stats.info 2010-12-08
ftmon.in 2010-12-03
tzv-stats.info 2010-12-01
fount.in 2010-11-24
この辺の続きです。


http://www.alahb.com/images/pic.js (削除)
http://www.jingmen.info/images/pic.js (削除)
http://www.yiqicall.com/images/pic.js (削除)
http://www.mount-tai.com.cn/js/img.js
(略)→http://www.dzfl.net/images/s.exe
 →http://67.159.45.128:61688/img/img.txt
67.159.45.128 img1.alyoy.in img1.dogsun.in

http://www.pkupe.com/images/pic.js
→http://www.pkupe.com/images/ner.html
→http://www.pkupe.com/images/sos.htm
 →http://www.kemosi.com/images/s.exe
  →http://76.73.110.250:61688/img/img.txt
76.73.110.250 zzts.in

連絡先(メールやフォーム。QQや電話は無理)が
明記されているサイトには連絡していますが、
泰山はさっぱり削除されませんね。

返信? 迷惑メールが少々…。

http://tzv-stats.info/ur.php


2010-12-03

http://www.pkupe.com/images/pic.js
(略)→http://www.ty256.com/images/s.exe

76.73.110.252 img1.alyoy.in img1.dogsun.in zzts.in


2010-12-04

76.73.110.252 img.fount.in img1.alyoy.in img1.dogsun.in zzts.in


2010-12-06

http://www.wanju888.com/css/img.js
→http://www.wanju888.com/css/sky.html
→http://www.wanju888.com/css/kol.htm
 →http://www.dzfl.net/images/s.exe

70.39.100.3 img.fount.in img1.alyoy.in img1.dogsun.in


2010-12-10

http://www.wanju888.com/css/img.js (削除)
http://www.mount-tai.com.cn/js/img.js
(略)→http://www.pacificenglish.cn/uploads/s.exe

http://mol-stats.info/ur.php


2010-12-16

http://ave-stats.info/ur.php
毎週律儀ですね…。


2010-12-21

http://www.pkupe.com/images/pic.js (削除)
http://www.caopanbang.com/js/img.js (削除)
http://027tennis.com/images/pic.js
→http://027tennis.com/images/ner.html
→http://027tennis.com/images/sos.htm
 →http://www.qxqy88.com/users/s.exe
  →http://broadbands.in:61688/img/img.txt
  →http://img.ftmon.in:61688/img/img.txt
broadbands.in から拾えない場合は
img.ftmon.in から拾うようです。
更新が遅いDNSサーバーへの対策でしょうか
(ダミーが混ざることもあります)。
ダウンローダーのファイル名が変わっています。
DriversSystem32.dll
投下先はプロファイル\Microsoftです。


2010-12-22

http://www.mount-tai.com.cn/js/img.js
(略)→http://www.pacificenglish.cn/uploads/s.exe
 →http://pic6563266713.inster.in/img/P0CD/img.exe
  →http://mlgbd.broadbands.in:61688/img/img.txt
s.exeが小さくなったと思ったら
従来のs.exeがimg.exeになっていました。
ダウンローダーのダウンローダーです。
system32\urlmons.dll


2010-12-25

ダウンローダーのファイル名が変わっています。
WindosSysDrivers.dll
投下先はプロファイル\Microsoftです。


2010-12-26

http://sol-stats.info/ur.php


2010-12-27

(略)→http://mast7632656751.yamade.in:61688/img/img.txt

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2010/12/02(木) 08:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<Java | ホーム | ブラウザ>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/240-ebd3c503
この記事にトラックバックする(FC2ブログユーザー)