ハルコタン紀行

fccja.com

XREA上に設置されている複数のサイトに有害なスクリプトが注入されていました。
http://1039045744:88/jp.js
6月にXREAの広告に注入されたのは
http://1039045744:81/jp.js
ですので、TCPポートが違うだけで同一犯です
(そしてFC2ブログのテンプレートに注入したのと同一犯です)。

http://1039045744:88/jp.js
→http://1039045744:88/
 →http://1039045744:88/show.php
  →http://1039045744:88/*.swf
(*=[i9.115,i9.64,i9.47,i9.45,i9.28,i9.16,i9.00,f9.115,f9.60,f9.47,f9.45,f9.28,f9.16])

解析を避けるためかshow.phpは2回目以降のアクセスではHTTP 404を装います。
ファイル名のiはActiveXコントロール(IE)、fはNetscapeプラグイン(Fx、Safari、Operaなど)、
数字はFlashPlayerのバージョンです(IE+FlashPlayer9.0.115ならi9.115.swf)。

http://1039045744:88/i9.115.swf


http://1039045744:88/f9.115.swf


URIっぽい文字列が見当たりませんが、よく見ると
Flashの先頭の3バイトが"CWS"になっています(通常は"FWS")。
これはzlibで圧縮されたFlashですので、解凍します
(FFmpegに付属するcws2fwsを使うのが簡単です)。

i9.115.swf


f9.115.swf


長いので省略していますが、これで見えました。

http://1039045744:88/jp.js
→http://1039045744:88/
 →http://1039045744:88/show.php
  →http://1039045744:88/*.swf
(*=[i9.115,i9.64,i9.47,i9.45,i9.28,i9.16,i9.00,f9.115,f9.60,f9.47,f9.45,f9.28,f9.16])
   →http://1039045744:88/taa.gif.gif

更新履歴(笑)
taa.gif.gif (2008-08-07 73,728バイト)
taa.gif.gif (2008-08-08 73,728バイト)
taa.gif.gif (2008-08-11 73,728バイト)
taa.gif.gif (2008-08-12 86,016バイト)
taa.gif.gif (2008-08-15 81,920バイト)
taa.gif.gif (2008-08-15 81,920バイト)
taa.gif.gif (2008-08-16 81,920バイト)
taa.gif.gif (2008-08-18 1:56 81,920バイト)
Flashのファイル名が変更されました(2008-08-18)。
http://1039045744:88/*.swf
(*=[i115-2,i64-2,i47-2,i45-2,i28-2,i16-2,i16-2,f115-2,f60-2,f47-2,f45-2,f28-2,f16-2])
taa.gif.gif (2008-08-18 2:51 81,920バイト)
taa.gif.gif (2008-06-29(偽装) 81,920バイト)
トロイのファイル名が変更されました(2008-08-21)。
tbb.gif.gif (2008-08-21 24,576バイト)
tbb.gif.gif (2008-08-25 26,624バイト)
tbb.gif.gif (囮 12,800バイト)
tbb.gif.gif (2008-08-28 26,624バイト)
tbb.gif.gif (2008-08-29 26,624バイト)
tbb.gif.gif (2008-08-30 26,624バイト)
tbb.gif.gif (2008-08-31 26,624バイト)

2008-09-01 ポート88が閉じました。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/08/08(金) 14:26:26|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:2
<<インジェクション | ホーム | ギガース>>

コメント

それが…大勢は来ないです。
昨日(08-31)のユニークアクセスは17件、
一昨日(08-30)は15件(笑)です(外国を含みます)。
XREAサポートフォーラムに投下していただけると助かります
(このブログは1度凍結されていますが、その原因が
この記事なのでちょっといじりにくいのです)。
  1. 2008/09/01(月) 19:53:00 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

grepで検索しましょう

はじめまして、xreaの今回の問題についてxreaの対応の鈍さに憤慨する者の一人です。

とはいえ当のxreaが対応しない以上は、ユーザ側で対策を講じるしかありません。自分のxreaサイトが改竄されていないか確認する方法がありますのでご紹介します。

今回の問題はオンラインゲームを扱ったサイト様が中心に標的になっているということで、オンラインゲームを中心に扱った貴サイトには今回の問題で困っているサイト運営者の方が大勢来られるだろうと思って連絡させていただきました。

詳しい手法は私のブログ(blogger)に記載してあります、

http://webtrashytips.blogspot.com/2008/08/xrea-grep.html

上記の記事の内容はご自由に引用していただいて構いません。リンク先なども含めて貴サイトを訪れるサイト運営者様に最適な文章に変更していただくと幸いに思います。
  1. 2008/08/31(日) 20:25:01 |
  2. URL |
  3. ただよし #7FrXHhSQ
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/69-2a20311c
この記事にトラックバックする(FC2ブログユーザー)