ハルコタン紀行

インジェクション

simplemadsterck.in 2011-10-20
personalcheckerre.in 2011-10-19
savepzsoft.in 2011-10-19
topasarmy.in 2011-10-19
topoxholder.in 2011-10-18
nbnjki.com 2011-10-16
lineutsafe.in 2011-10-13
lineyesafe.in 2011-10-13
nbnjkl.com 2011-10-13
strongazsuite.in 2011-10-10
strongdefenseiz.in 2011-10-10
smart-scanereq.in 2011-10-06
jjghui.com 2011-10-05
bustdy.in 2011-10-04
いつもの。
http://jjghui.com/urchin.js
→http://www3.bustdy.in/

2011-10-07
2011-10-09

いつもの。
http://jjghui.com/urchin.js
→http://www3.smart-scanereq.in/

2011-10-09
2011-10-10

いつもの。
http://jjghui.com/urchin.js
→http://www3.personal-defenseuoh.rr.nu/
→http://www3.strongipq-antivir.rr.nu/
→http://www3.topscanertho.rr.nu/
→http://www3.firstkiysuite.rr.nu/
→http://www3.savetcpnetwork.rr.nu/
際限がないので今後はrr.nuではなくなったら追記します。

2011-10-10
2011-10-12

いつもの。
http://jjghui.com/urchin.js
→http://www3.strongdefenseiz.in/

2011-10-12
2011-10-13

いつもの。
http://jjghui.com/urchin.js
→http://www3.strongazsuite.in/
http://jjghui.com/urchin.js mass infection ongoing (Armorize)
Mass infections from jjghui.com/urchin.js (SQL injection) (Sucuri)

2011-10-13
2011-10-14

いつもの。
http://nbnjkl.com/urchin.js
→http://www3.lineutsafe.in/

2011-10-14
2011-10-15

いつもの。
http://nbnjkl.com/urchin.js
→http://www3.lineyesafe.in/

2011-10-15
2011-10-16

osCommerce。
http://domboware.hu/js/
UNIX時間が表示されるだけですが、
これから仕掛けるのですかね。
↓数時間後。
http://domboware.hu/js/
→http://domboware.hu/js/jquery.php
 →http://bidonionis.orge.pl/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34
このIDは見覚えがありますね。

2011-10-16
2011-10-19

いつもの。
http://nbnjki.com/urchin.js
→http://www3.topoxholder.in/

2011-10-19
2011-10-20

いつもの。
http://nbnjki.com/urchin.js
→http://www3.topasarmy.in/
→http://www3.savepzsoft.in/
→http://www3.personalcheckerre.in/
Dissecting the Ongoing Mass SQL Injection Attack (Dancho Danchev's Blog)

2011-10-20
2011-10-21

osCommerce。
http://infocenc.com.br/js/
→http://drhousenews.orge.pl/iframe.php?id=25y8z097ife4v3uzkdkty169flx367g
以前からある物とほぼ同じですが、IDが異なります。
http://domboware.hu/js/
→http://drhousenews.orge.pl/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34

いつもの。
http://nbnjki.com/urchin.js
→http://www3.simplemadsterck.in/
このinドメインが変わる間隔がよくわかりません
(たぶんたくさん見逃しています)。
Ongoing analysis of the web infection (Kaspersky)
Urchins, LizaMoons, Tigers, and Bears (McAfee)

2011-10-21
2011-10-31

The True Face of Urchin (Symantec)
騒がれ過ぎたので今は沈静化しています。
また忘れた頃に復活するでしょう。

2011-10-31
2011-11-01

osCommerce。
http://aleba.com.br/js/
→http://lopotushe4ka.orge.pl/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34
難読化していません。
騒がれたurchin.js系と(巻き添えで検知されるほど)
スクリプトが酷似していた為かもしれませんね。
AVG Web Threat Weekly Update- Week 43 (AVG)

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2011/10/07(金) 12:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<ブラウザ | ホーム | Flash>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/323-07efd32f
この記事にトラックバックする(FC2ブログユーザー)