ハルコタン紀行

インジェクション

23-12.net 2008-07-26
hohoye.com 2008-07-26
bally-bally.net 2008-07-25
date-25.cn 2008-07-25
tw360.net 2008-07-25
detoot.cn 2008-07-24
fengent.cn 2008-07-24
thungen.cn 2008-07-24
23-11.net 2008-07-23
date-23.cn 2008-07-23
16-22.net 2008-07-22
gefeien.cn 2008-07-22
12-55.net 2008-07-21
12-76.cn 2008-07-21
asp-16.cn 2008-07-21
date-21.net 2008-07-21
faceiw.cn 2008-07-19
fanqien.cn 2008-07-19
herezh.cn 2008-07-19
qianfane.cn 2008-07-19
ouerfe.cn 2008-07-19
zmdeie.cn 2008-07-19
yytebaidu.cn 2008-07-18
haeine.cn 2008-07-17
sony111.cn 2008-07-17
sony333.cn 2008-07-17
sony666.cn 2008-07-17
sony888.cn 2008-07-17
uigdc.cn 2008-07-17
uirtg.cn 2008-07-17
xcyhb.cn 2008-07-17
13n7.cn 2008-07-15
k1ks.cn 2008-07-15
k2ks.cn 2008-07-15
k3ks.cn 2008-07-15
jijiks8ahsda.cn 2008-07-11
1ovel.cn 2008-07-06
2o2oo.cn 2008-07-06
77o77o.cn 2008-07-06
7o7o7o.cn 2008-07-06
xdownl.cn 2008-07-06
o1o2qq.cn 2008-07-04
lalaaiwo.net.cn 2008-06-16
about369.cn 2008-06-13
mo98g.cn 2008-05-28

http://haeine.cn/page/addr.js
→http://detoot.cn/news.html
 →(略)

http://www.awserk.cn/65.htm
→http://www.awserk.cn/timwp.html
http://www.wleurw.cn/118.htm
→http://www.wleurw.cn/timwp.html
 →http://user1.date-25.cn/ms06014.js
  →http://user1.23-12.net/bak.css
 →http://user1.date-25.cn/versionie.swf
 →http://user1.date-25.cn/versionff.swf
 →http://user1.date-25.cn/Real.html
 →http://user1.date-25.cn/real.js
 →http://user1.date-25.cn/Baidu.cab
 →http://user1.date-25.cn/GLWORLD.html
 →http://user1.date-25.cn/Qvod.html

http://mo98g.cn/1.js
→http://about369.cn/m.htm
 →http://about369.cn/www/14.js
  →http://about369.cn/1111111/222.exe
 →http://about369.cn/www/r1.js
 →http://about369.cn/www/r2.js
 →http://about369.cn/1111111/index.htm
  →http://about369.cn/1111111/ilink.html
   →http://about369.cn/1111111/*.swf (*=[i16,i28,i45,i47,i64,i115])
  →http://about369.cn/1111111/flink.html
   →http://about369.cn/1111111/*.swf (*=[f16,f28,f45,f47,f64,f115])

http://www.alanga.net/axi.txt
http://www.infomt.net/dk.txt
http://www.xiaobai01.net/update.txt


http://www.irxxv.com/css.txt


2008-07-26
2008-07-25

http://52-o.cn/admin.js
→http://www.1ovel.cn/xiao.htm
 →http://www.1ovel.cn/asp/1.htm
  →http://www.1ovel.cn/www/m5.htm
 →http://www.1ovel.cn/www/uu.htm
 →http://www.1ovel.cn/asp/as.htm
  →http://www.1ovel.cn/asp/m6.htm
   →http://www.xdownl.cn/mm.exe

http://haeine.cn/page/addr.js
→http://thungen.cn/news.html
 →http://fengent.cn/ss.html
  →http://user1.12-27.net/bak.css
 →http://fengent.cn/sina.exe
 →http://fengent.cn/ms06014.js
  →http://user1.12-27.net/bak.css
 →http://fengent.cn/*.swf (*=[16,28,45,47,64,115])
 →http://fengent.cn/Real.html
 →http://fengent.cn/real.js
 →http://fengent.cn/Baidu.cab
 →http://fengent.cn/GLWORLD.html
 →http://fengent.cn/Thunder.html

http://www.awserk.cn/65.htm
→http://www.awserk.cn/timwp.html
http://www.wleurw.cn/118.htm
→http://www.wleurw.cn/timwp.html
 →http://www.tw360.net/ms06014.js
  →http://www.tw360.net/bak.css
 →http://www.tw360.net/versionie.swf
 →http://www.tw360.net/versionff.swf
 →http://www.tw360.net/Real.html
 →http://www.tw360.net/real.js
 →http://www.tw360.net/Baidu.cab
 →http://www.tw360.net/GLWORLD.html
 →http://www.tw360.net/Qvod.html

2008-07-25
2008-07-24

http://52-o.cn/admin.js
→http://www.77o77o.cn/xiao.htm
 →(略)

http://haeine.cn/page/addr.js
→http://gefeien.cn/news.html
 →(略)

http://www.awserk.cn/65.htm
→http://www.awserk.cn/timwp.html
http://www.wleurw.cn/118.htm
→http://www.wleurw.cn/timwp.html
 →http://user1.date-23.cn/ms06014.js
  →http://user1.23-11.net/bak.css
 →http://user1.date-23.cn/versionie.swf
 →http://user1.date-23.cn/versionff.swf
 →http://user1.date-23.cn/Real.html
 →http://user1.date-23.cn/real.js
 →http://user1.date-23.cn/Baidu.cab
 →http://user1.date-23.cn/GLWORLD.html
 →http://user1.date-23.cn/Qvod.html

http://13n7.cn/root/vop.htm
→http://13n7.cn/bbs/index.htm
 →http://13n7.cn/bbs/ilink.html
  →http://13n7.cn/bbs/*.swf (*=[i16,i28,i45,i47,i64,i115])
 →http://13n7.cn/bbs/flink.html
  →http://13n7.cn/bbs/*.swf (*=[f16,f28,f45,f47,f64,f115])
→http://13n7.cn/root/off.htm
 →http://k1ks.cn/root/svcos.exe
→http://13n7.cn/root/vip.htm
 →(略)

http://www.fffffffggggg.cn/a0047129/new.html
→http://www.fffffffggggg.cn/14.htm
 →http://user1.16-22.net/ms06014.exe
→http://www.fffffffggggg.cn/a0047129/fx.htm
 →http://www.fffffffggggg.cn/a0047129/ilink.html
  →http://www.fffffffggggg.cn/a0047129/*.swf (*=[i16,i28,i45,i47,i64,i115])
 →http://www.fffffffggggg.cn/a0047129/flink.html
  →http://www.fffffffggggg.cn/a0047129/*.swf (*=[f16,f28,f45,f47,f64,f115])
→http://www.fffffffggggg.cn/as.htm
 →http://user1.16-22.net/as.exe
 →http://www.fffffffggggg.cn/ce.htm
  →http://user1.16-22.net/ce.exe
→http://www.fffffffggggg.cn/a0047129/real11.htm
→http://www.fffffffggggg.cn/real10.htm
 →http://www.fffffffggggg.cn/real10.js
→http://www.fffffffggggg.cn/Bfyy.htm
→http://www.fffffffggggg.cn/a0047129/lz.htm

2008-07-24
2008-07-23

http://haeine.cn/page/addr.js
→http://ouerfe.cn/news.html
 →http://faceiw.cn/ss.html
  →http://user1.12-27.net/bak.css
 →http://faceiw.cn/sina.exe
 →http://faceiw.cn/ms06014.js
  →http://user1.12-27.net/bak.css
 →http://faceiw.cn/*.swf (*=[16,28,45,47,64,115])
 →http://faceiw.cn/Real.html
 →http://faceiw.cn/real.js
 →http://faceiw.cn/Baidu.cab
 →http://faceiw.cn/GLWORLD.html
 →http://faceiw.cn/Thunder.html

2008-07-23
2008-07-22

http://52-o.cn/admin.js
→http://www.pang456.cn/e2.htm
 →http://www.sony16.cn/ghost.html
  →http://user1.12-76.cn/baktv.css
  →http://user1.asp-16.cn/off.html
   →http://user1.12-76.cn/bakof.css
  →http://user1.asp-16.cn/ms06014.js
   →http://user1.12-76.cn/bak0.css
  →http://user1.asp-16.cn/ie.swf
  →http://user1.asp-16.cn/ff.swf
  →http://user1.asp-16.cn/Real.html
  →http://user1.asp-16.cn/real.js
  →http://user1.asp-16.cn/Baidu.cab
  →http://user1.asp-16.cn/GLWORLD.html
  →http://user1.asp-16.cn/Thunder.html

http://oo00oo.com.cn/
→(いろいろ略)
 →http://yytebaidu.cn/ (略)

2008-07-22
2008-07-21

http://52-o.cn/admin.js
→http://www.7o7o7o.cn/xiao.htm
 →http://www.7o7o7o.cn/asp/1.htm
  →http://www.7o7o7o.cn/asp/as.htm
   →http://www.7o7o7o.cn/asp/m6.htm
    →(略)
  →http://www.7o7o7o.cn/www/m5.htm
   →(略)
  →http://www.7o7o7o.cn/www/uu.htm
   →(略)

http://haeine.cn/page/addr.js
→http://zmdeie.cn/news.html
  →(略)

http://k3ks.cn/root/vop.htm
→http://k3ks.cn/bbs/index.htm
 →http://k3ks.cn/root/off.htm
  →http://k1ks.cn/root/svcos.exe
→http://k3ks.cn/root/vip.htm
 →(略)

http://908jdla222.cn/z51.htm
→http://908jdla222.cn/xi/xx.htm
 →http://908jdla222.cn/xi/14.htm
  →http://jijiks8ahsda.cn/9/ck.exe
 →http://908jdla222.cn/xi/flash.htm
  →http://908jdla222.cn/xi/igame.html
   →http://908jdla222.cn/xi/*.swf (*=[i16,i28,i45,i47,i64,i115])
  →http://908jdla222.cn/xi/fgame.html
   →http://908jdla222.cn/xi/*.swf (*=[f16,f28,f45,f47,f64,f115])
 →http://908jdla222.cn/xi/lz.htm
 →http://908jdla222.cn/xi/sina.htm
  →http://jijiks8ahsda.cn/9/ck.exe
 →http://908jdla222.cn/xi/office.htm
  →http://jijiks8ahsda.cn/9/ck.exe
 →http://908jdla222.cn/xi/re10.htm
 →http://908jdla222.cn/xi/re11.htm

http://513389.cn/808.txt
http://513389.cn/ss.txt
http://513389.cn/yy.txt


2008-07-21
2008-07-20

http://52-o.cn/admin.js
→http://www.lalaaiwo.net.cn/xiao.htm
 →http://www.2o2oo.cn/asp/1.htm
  →http://www.2o2oo.cn/asp/flash.js
  →http://www.lalaaiwo.net.cn/www/m5.htm
   →http://www.fukfuk360.org.cn/down/mm.exe
  →http://www.lalaaiwo.net.cn/www/uu.htm
   →http://www.4o4o4.cn/www/UUS.cab
  →http://www.2o2oo.cn/asp/as.htm
   →http://www.4o4o4.cn/asp/m6.htm
    →http://www.fukfuk360.org.cn/down/mm.exe

http://52-o.cn/admin.js
→http://www.pang456.cn/e2.htm
 →http://www.sony16.cn/ghost.html
  →http://user1.sony666.cn/of.htm
   →http://user1.sony333.cn/bak6.css
  →http://user1.sony666.cn/bak6.css
  →http://user1.sony666.cn/ms06014.js
   →http://user1.sony333.cn/bak0.css
  →http://user1.sony666.cn/versionie.swf
  →http://user1.sony666.cn/versionff.swf
  →http://user1.sony666.cn/Real.html
  →http://user1.sony666.cn/real.js
  →http://user1.sony666.cn/Baidu.cab
  →http://user1.sony666.cn/GLWORLD.html
  →http://user1.sony666.cn/Thunder.html

http://chanm.cn/a.js
→http://www.uyrwx.cn/31.html
 →http://www.uyrwx.cn/al.html
  →http://www.uirtg.cn/ms06014.js
   →http://www.xcyhb.cn/update.exe
  →http://www.uigdc.cn/igame.html
   →http://www.uigdc.cn/*.swf (*=[i16,i28,i45,i47,i64,i115])
  →http://www.uigdc.cn/fgame.html
   →http://www.uigdc.cn/*.swf (*=[f16,f28,f45,f47,f64,f115])
  →http://www.uirtg.cn/Real.html
  →http://www.uirtg.cn/real.js
  →http://www.uirtg.cn/Baidu.cab
  →http://www.uirtg.cn/GLWORLD.html
  →http://www.uirtg.cn/Thunder.html

http://www.o1o2qq.cn/ri.js
→http://haeine.cn/page/add_1566515.htm
 →http://haeine.cn/page/addr.js
  →http://fanqien.cn/news.html
   →http://qianfane.cn/ss.html
    →http://user1.12-27.net/bak.css
   →http://qianfane.cn/sina.exe
   →http://qianfane.cn/ms06014.js
    →http://user1.12-27.net/bak.css
   →http://qianfane.cn/*.swf (*=[16,28,45,47,64,115])
   →http://qianfane.cn/Real.html
   →http://qianfane.cn/Baidu.cab
   →http://qianfane.cn/real.js
   →http://qianfane.cn/GLWORLD.html
   →http://qianfane.cn/Thunder.html
  →http://www.o1o2qq.cn/reg.htm
   →(略)
  →http://www.o1o2qq.cn/456.htm
   →(略)

http://www.jgasw.cn/118.htm
→http://www.jgasw.cn/go.html
 →http://user1.date-21.net/ms06014.js
  →http://user1.12-55.net/bak.css
 →http://user1.date-21.net/versionie.swf
 →http://user1.date-21.net/versionff.swf
 →http://user1.date-21.net/Real.html
 →http://user1.date-21.net/real.js
 →http://user1.date-21.net/Baidu.cab
 →http://user1.date-21.net/GLWORLD.html
 →http://user1.date-21.net/Thunder.html

http://oo00oo.com.cn/
→(いろいろ略)
 →http://uuysina.cn/ (略)

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/07/20(日) 11:38:49|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:4
<<インジェクション | ホーム | adw95.com>>

コメント

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます
  1. 2008/07/23(水) 03:27:25 |
  2. |
  3. #
  4. [ 編集 ]

Flash補足

ウイルスをダウンロードし実行するswfについて補足すると
まともなAS(ActionScript、Flash内のスクリプト)ではないため
SWFDump -Dで表示できないことがあります。
バイナリエディタで眺めると
ilion.blog47.fc2.com/blog-entry-51.html の
blog-imgs-21.fc2.com/i/l/i/ilion/2008061305.png のように
べた書きしてあることもありますが、
ファイルヘッダがFWSではなくCWSの場合(今はほとんどこれ)は
zlib圧縮してあるためcws2fwsなどで解凍する必要があります。
  1. 2008/07/22(火) 14:06:09 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

ツール

「コメント投稿確認 本文に含まれるURLの数が超過しています。」
FC2のこれ解除できないみたいなのでhttp:を抜いています。

ちょうど出先でチェック環境をでっち上げたので参考までにどうぞ。

whois(コマンド)
web上のサービスが多数ありますが、Microsoft純正(笑)のwhoisが
Sysinternalsで配布されています。
//technet.microsoft.com/sysinternals/bb897435.aspx
中国のwhoisサーバは反応が鈍いので連打が必要なこともあります。

dig(コマンド)
nslookupでもかまいません。ホストの有無を(whoisと併用して)調べたり
ホストが存在した場合のDNSレコードやIPを見る時に使います。
DNSサーバのBINDに同梱されています(解凍して使えますのでインストールはしません)。
//www.isc.org/sw/bind/
 //ilion.blog47.fc2.com/blog-entry-51.html の
 //blog-imgs-21.fc2.com/i/l/i/ilion/2008061302.png や
 //ilion.blog47.fc2.com/blog-entry-47.html の
 //blog-imgs-21.fc2.com/i/l/i/ilion/2008060401.png がdigの画像です
 (後者はボットネットなので大変なことになっています)。

wfetch
HTTPの応答をテキストで表示します。
HTMLを解釈しないため危険なスクリプトが仕込まれていても安心です。
IISのリソースキットに同梱されていますが、新しい物が単体で配布されています。
//www.microsoft.com/Downloads/details.aspx?FamilyID=b134a806-d50e-4664-8348-da5c17129210
 //ilion.blog47.fc2.com/blog-entry-51.html の
 //blog-imgs-21.fc2.com/i/l/i/ilion/2008061301.png がwfetchの画像です。

巡回ツール(WWWCなど)
更新チェックとソースを一瞥する時に使います
(ドメイン業者の広告が出てきたら使い捨てられたドメインなのでごみ箱行きです)。
 //blog.livedoor.jp/botbokumetu/archives/50644150.html の
 //image.blog.livedoor.jp/botbokumetu/imgs/7/5/7595bd3c.png は
 当時MMOBBSにアップした画像です。

スクリプトのalertダイアログの扱いが楽なブラウザ(Firefoxなど)
難読化スクリプトの解読として(文字コードの置換は処理した後で)手っ取り早いのは
evalやdocument.writeを探しalertに変えて保存しブラウザで開くことです。
IEは巨大なダイアログでは後半を省略してしまうのと
ダイアログの内容を選択できないという欠点があります。
Fxは巨大なダイアログでもCtrl+A(全て選択)→Ctrl+C(コピー)で
メモ帳などに貼ってじっくり眺めることができます。

検体の取得と提出を行う場合は以下も使います。
ダウンローダ(Irvineなど)
バイナリエディタ(exeに埋め込まれたURIを探します)
PEiD(Packerを判別します。最近は独自Packerが多いので困ります)
UPX(PackerがUPXだった場合はUnpackして提出します)
SWFToolsのSWFDump(Flashのダンプ用)
  1. 2008/07/22(火) 13:49:33 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます
  1. 2008/07/21(月) 21:31:02 |
  2. |
  3. #
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/64-a15a191f
この記事にトラックバックする(FC2ブログユーザー)