IE

日本のオンラインゲーマーの間では有名な
中国のアカウントハッキングサイトの1つに
4gameranking.com というのがあります
(4Gamerに似ているドメインです)。
このIPには
aimeblog.com blog20fc2.com blog86fc2.com
gamepaslog.com geoncities.com play0nlink.com
などがあります(いずれもどこかに似ているドメインです)。
手口としてはframe(あるいはiframe)を用いて
他人の無害なサイトを大きく、
以下の有害なサイトを小さく表示するものです。
http://4gameranking.com/xin/
このサイト自体は古いですが、3月24日には
当時ゼロデイだったMS10-018のスクリプトに更新されています。

(整形・抜粋)
→http://4gameranking.com/xin/2.exe
「QuteQQ」の文字列やQQのIDから
暗黒工作組のツールに組み込まれているようです。
Active Exploitation of CVE-2010-0806 (MMPC)

2010-03-31

---

2010-03-11

McAfeeが詳細な情報を出しています。
Targeted Internet Explorer Zero-Day Attack Announced (CVE-2010-0806) (McAfee)
Aurora作戦の時もそうでしたが、McAfeeはMicrosoftと仲が良く
IEが得意な気がします(SymantecはAdobeと仲が良い気がします)。
Internet Explorer 0-day targeted in spam runs (Sophos)
Demonstrating the Latest IE 0-day Vulnerability (Panda)
Zero-Day attack on IE6 - JS.Sykipot Doesn't Spare Retired Software (Symantec)
Backdoor.Sykipot At Work (Symantec)
New IE Zero-Day Exploit (CVE-2010-0806) (Trendmicro)
20100307.htmとなっていますが、日本ではこのような例があります。

「女子自衛官の写真冊」。写真冊とは写真集のことのようです
(標的型ということで、実際はメールが主力と思われます)。
もし20100305rss.htmというファイル名が日時だとすれば
こちらのほうが早かったことになります。
もし防衛省や自衛隊を狙ったのだとすればAurora作戦の一環でしょうか。

なおIE8で閲覧すると927917で中断されます。


McAfeeの(過度に?)詳細な情報を元に
Metasploitのモジュールが作成され公開されました。
Microsoft Internet Explorer iepeers.dll use-after-free exploit (meta) (Recognize-Security)
Exploit Databaseにも転載されています。
この(URIをほぼ公開した)McAfeeの情報は過度だったのでは? と
Kasperskyは苦言を呈しています。
When too much is not enough too much. (Kaspersky)