ハルコタン紀行

インジェクション

baidu-baiduxin1.cn 2008-11-08
baidu-baiduxin2.cn 2008-11-08
baidu-baiduxin3.cn 2008-11-08
baidu-baiduxin4.cn 2008-11-08
baidu-baiduxin6.cn 2008-11-08
baidu-baiduxin7.cn 2008-11-08
baidu-baiduxin8.cn 2008-11-08
baidu-baiduxin9.cn 2008-11-08
mekiller.com 2008-11-07
do2a.cn 2008-11-03
gd3w.cn 2008-11-03
jmrlmgg.cn 2008-10-30
avse2.cn 2008-10-28
vvexe.com 2008-10-24
mysy8.com 2008-10-09

「ブログ民」「ブログ店」にスクリプトが注入されています。
http://61.31.235.114/i.swf (flashではなくscript)
→http://61.31.235.114/index.htm
 →http://61.31.235.114/0614.htm
  →http://jmrlmgg.cn/jp.exe
 →http://61.31.235.114/ani.htm
  →http://61.31.235.114/ani.cur
   →http://jmrlmgg.cn/jp.exe
 →http://61.31.235.114/08053.htm
 →http://61.31.235.114/flash.htm
  →http://61.31.235.114/fl/ifl.html
   →http://61.31.235.114/fl/i*.swf (*=[16,28,45,47,64,115])
  →http://61.31.235.114/fl/ffl.html
   →http://61.31.235.114/fl/f*.swf (*=[16,28,45,47,64,115])
 →http://61.31.235.114/real11.htm
http://jmrlmgg.cn/jp.exe

→http://avse2.cn/2.txt


2008-11-14
2008-11-12

http://web.do2a.cn/root/vop.htm
→http://web.do2a.cn/root/vip.htm
→http://web.do2a.cn/root/off.htm
→http://web.do2a.cn/bbs/fx.htm

2008-11-12
2008-11-11

http://www.google-analytics.tw.cn/main.js
→http://baidu-baiduxin1.cn/b117173/b11.htm
 →http://baidu-baiduxin1.cn/b117173/new.html
  →(略)

http://web.gd3w.cn/root/vop.htm
→http://web.gd3w.cn/root/vip.htm
→http://web.gd3w.cn/root/off.htm
→http://web.gd3w.cn/hc/fh.htm

(謎)
→http://mekiller.com/1/ms06014.htm
 →http://mekiller.com/css/css.exe
→http://mekiller.com/1/access.htm
 →http://mekiller.com/css/css.exe
http://mekiller.com/css/css.exe
→http://mekiller.com/xzz/aa1.exe
mysy8.comの後継です。

2008-11-11
2008-11-09

http://mysy8.com/1/1.js
→http://mysy8.com/1/1.htm
 →http://mysy8.com/1/Ms06014.htm
  →http://mysy8.com/css/css.exe
 →http://mysy8.com/1/Access.htm
  →http://mysy8.com/css/css.exe
 →http://mysy8.com/1/Ms08053.htm
 →http://mysy8.com/1/Ms08011.htm
 →http://mysy8.com/1/Flash.htm
  →http://mysy8.com/1/Flash.swf
 →http://mysy8.com/1/Real.js
 →http://mysy8.com/1/Real11.htm
 →http://mysy8.com/1/ActiveX.htm
 →http://mysy8.com/1/IConics.htm
IConics.htmはICONICS(何これ?)のActiveXコントロールの脆弱性のようです。
これより先に下記が注入されています。「s」抜きは普通のホストに見えますが、
勝手に「s」を追加したんでしょうか(どうやって?)。
http://s.ardoshanghai.com/s.js (閉鎖)
http://s.cawjb.com/s.js
http://s.kaisimi.net/s.js
http://s.shunxing.com.cn/s.js (閉鎖)
→http://mysy8.com/DD/cuteqqs.htm
 →http://mysy8.com/dd/Ms06014.htm
  →http://mysy8.com/css/css.exe
 →http://mysy8.com/dd/Access.htm
  →http://mysy8.com/css/css.exe
 →http://mysy8.com/dd/Ms08011.htm
 →http://mysy8.com/dd/Ms08053.htm
 →http://mysy8.com/dd/Flash.htm
  →http://mysy8.com/1/Flash.swf
 →http://mysy8.com/dd/Real.js
 →http://mysy8.com/dd/Real11.htm
 →http://mysy8.com/dd/ActiveX.htm
 →http://mysy8.com/dd/IConics.htm
http://mysy8.com/css/css.exe
→http://mysy8.com/xzz/aa1.exe
RarSFXによる3匹の詰め合わせです。

Big Chinese Hack 2? (Kaspersky 2008-11-07)
http://acglgoa.com/h.js
http://armsart.com/h.js (404)
http://dbios.org/h.js
http://idea21.org/h.js
http://s4d.in/h.js (404)
http://yrwap.cn/h.js
→http://vvexe.com/haha/index.html
 →http://vvexe.com/haha/06014.htm
 →http://pp.podou.com/haha/down.exe
 →http://vvexe.com/haha/ff.htm
 →http://pp.podou.com/haha/down.exe
 →http://vvexe.com/haha/122yt.htm
  →http://vvexe.com/haha/gdi1.swf
  →http://vvexe.com/haha/gdi2.swf
 →http://vvexe.com/haha/12341.htm
  →http://vvexe.com/haha/i1.html
   →http://vvexe.com/haha/i*.swf (*=[16,28,45,47,64,i115])
  →http://vvexe.com/haha/f2.html
   →http://vvexe.com/haha/f*.swf (*=[16,28,45,47,64,f115])
 →http://vvexe.com/haha/y100.htm
 →http://vvexe.com/haha/y101.htm
 →http://vvexe.com/haha/tr.htm (ごみ)
→http://www.kenya.com/faq.htm (アクセス解析)
http://pp.podou.com/haha/down.exe

http://www.vvexe.com/haha/down.txt

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/11/09(日) 23:59:58|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<インジェクション | ホーム | インジェクション>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/98-558cee4d
この記事にトラックバックする(FC2ブログユーザー)