2010-03-05
http://google-analitics.net/ga.js
どこかで見たようなGoogleAnalyticsの偽物です
(urchin.jsからga.jsになっています)。
*.salefale.com に誘導されます。
2010-03-05
2010-02-24
APSB10-08 AdobeDownloadManager(
getPlus)1.6.2.63
IEやFirefoxでAdobeReaderやFlashPlayerをダウンロードする時に使われる物です。
IE http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Fx http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.xpi
いずれのパッケージもActiveXコントロールとNetscapeプラグインの両方を含んでいます。
IEやFxでもgetPlusを使わずに配布して欲しいものです。
Opera
Safari
2010-02-24
2010-02-17
APSB10-06 FlashPlayer10.0.45.2
APSB10-07 AdobeReader9.3.1
AdobeReaderはパッチのみの提供です。
新規に導入する場合、9.3の導入後に9.3.1を適用する必要があります
(9.1~9.1.3と同様です)。更新されるファイルは2つです。
1つはauthplay.dllで、これはAdobeReaderから呼ばれるFlashPlayerです
(PDF内のFlashの再生に使われます)。
1つはAdobeプラグインのAcroForm.apiで、これが9.3.1です。
AdobeReader本体(AcroRd32.exeやAcroRd32.dll)は9.3.0のままです。
ダイアログに表示される「9.3.1」はレジストリに設定されています。
HKLM\Software\Adobe\Acrobat Reader\9.0\Installer
VersionMax
VersionMin
嘘のバージョンを表示するのも簡単ですね!
NetscapeプラグインやActiveXコントロールも9.3.0のままです。
もちろんFx3.6のプラグインチェックツールではチェックできません。
危ないATLは削除しておきましょう。
先日のオンラインゲーム向けのトロイです。
http://bbs.xcdx169.net/include/log.js
→(略)
→http://bbs.xcdx169.net/uc/js/x.exe
↓
増えました。
2010-02-17
2010-02-15
淡々と注入を続けるポーランド好きの人。
一部をエンコードしているので見つけにくいです(xorg.pl)。
http://neb.xorg.pl/c.js
→http://acn.bij.pl/11/891sd.htm
→(略)
→http://acn.bij.pl/l/ee.exe
acnの部分はとても高い頻度で変更されています。
aaa→aab→…aaz→aba→abb→…abz→aca→acb→…
ee.exeの部分も高い頻度で変更されています。
aa.exe→bb.exe→…zz.exe→aa.exe→…
このバイナリはとてもとても高い頻度で変更されています。
2つのPEヘッダを持ち、後半はUpackです。
こちらは別な物です。
http://bbs.xcdx169.net/include/log.js
→(略)
→http://online.xywy.com/html/zh/wow/d.exe
DnF(DF)はアラド戦記(Dungeon&Fighter)です、たぶん。
