このような爆撃は珍しくないのですが、
初めて見るドメイン、初めて見るdoc、
ということで採り上げてみました。
gysdk.com と lineageev.com (同一IPです)は
検索すると繁体字ばかりであることから
台湾で暴れていたようです。
MS06-027(4年前のWordの脆弱性)を用います。
VT古い脆弱性しか使わないわけではなく、
台湾ではこのような物も投下されています。
http://www.gysdk.com/hu.html
http://www.lineageev.com/hu.html
(整形)
→/1.exe
これは当時ゼロデイだった
4gamerankingと全く同じスクリプトです
(同じ暗黒工作組のツールで生成したものでしょう)。
MS10-018(IE6・IE7の脆弱性)を用います。
翌日。
