ハルファ紀行 gumblar・martuz
有害なスクリプトがいくつかのサイトに注入されています。 単純な1行のscriptタグであること(URIの末尾はphp)、 誘導先は(有害な物が設置されてはいるものの) いわゆる有害ドメインではないことから発覚しにくくなっています。 スクリプトの書き方からzlkon・gumblar・martuzの系統と思われます。 gumblar・martuz 今回 gumblarやmartuzはドメインで容易に蹴られてしまうという欠点がありましたが、 今回はそれがありません(C&Cの存在も確認できません)。 やられちゃったサイト群1のスクリプトは以下のようになっています。 IE用 非IE(Fx、Safari、Opera等)用 デコードするとそれぞれ以下のようになっています。 IE用 非IE用 「s=」でセッション管理をしています(検体を拾えませんでした)。 「id=2」でpdf(Acrobat)が、「id
ハルファ紀行 martuz.cn
gumblar.cnからmartuz.cnに移行しました。 「.cn」ですがIPアドレスはイギリスです。 (デコード・整形済み) Chromeを除外するようになったこと以外は gumblar.cnと変わりはありません。 http://martuz.cn/vid/?id=2 (←pdf、Acrobat) http://martuz.cn/vid/?id=3 (←swf、Flash) http://martuz.cn/vid/?id=10 (←exe) 注入されているスクリプトのバリエーション。 JPCERT/CC JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起 (2009-05-19)
ハルファ紀行 gumblar.cn
先月、以下のようなスクリプトがいくつかのサイトに注入されていました (実際は難読化された長いスクリプトでした)。 http://94.247.2.195/jquery.js zlkon.lv(ラトビアのISP?)配下のIPアドレスであることから zlkonウイルスなどと呼ばれていました。 今はいくつかのサイトに以下のようなスクリプトが注入されています。 zlkon時代と似ています。解読すると以下のようになります(整形済み)。 「.cn」ですがIPアドレスはロシアです。 WindowsでNT6以外ということで、 Vista・Server2008、7・Server2008R2は除外されます (ME、2000、XP・Server2003までの全てのWindowsが対象です)。 この後が面白いです。 私のXP+IE8でalertすると以下のようになります。 この数字は以下のようになります。 5.8
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
