ハルコタン紀行

dda3.netその2

dda3.netのindex.htmとhe.htmをいじってみます。
とりあえずindex.htmを見てみましょう。

げ。でもこれは前回出てきた16進数です。デコードします。

げげ。これは10進数です。デコードします。

見えてきました。
普段はこの辺でやめます(exeのファイル名が見えている)が、今回は掃除してみましょう。
まず10進数は数字が繋がってしまう(%12%34はあきらかに%12と%34だが、1234は1と234なのか12と34なのか123と4なのかがわからなくなる)ので
カンマなどで区切ってスクリプトで処理しています。よってカンマを消します。
本来必要なカンマも消えますが、何をやっているのかがわかればいいのです。
%0D%0Aと13,10は改行なので改行して消します。

できあがり。
これはMS06-014、MDACの脆弱性を使うスクリプトです。WindowsUpdateで阻止できます。

同様にhe.htmもいじります。

これはRealPlayerの脆弱性を使うスクリプトです。阻止できない可能性があります。
RealPlayer11.0.1(6.0.14.794)では修正済みのようですが、日本語版は11(6.0.14.748)しかないからです。
(このスクリプトを最初に大規模にばら撒いたのはuc8010.comだと思います)。

メモ:
スクリプトのエンコードは\~(8進数)や\x~(16進数、%~と同じ)も使われる。標準(ECMA-262?)でどうなっているのかは知らない!

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/03/14(金) 01:40:09|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<hellh.netその2 | ホーム | hellh.netその1>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/5-56797012
この記事にトラックバックする(FC2ブログユーザー)