インジェクション

変わったポートを使うのが特徴でしょうか。
ファイル名はjsですが実際はexeです。
WoWやQQなどから中国国内を狙った物でしょう。

---

文字列を置換する関数を作成するSQLインジェクション攻撃 (IBM 東京SOC)
文字列を置換する関数を作成するSQLインジェクション攻撃に関する続報 (IBM 東京SOC)
http://www.cdbroad.com/Images/yahoo.js (削除)
http://www.wangqiao365.com/img/yahoo.js
→http://www.wangqiao365.com/img/ad.htm
　→http://www.wangqiao365.com/img/s.exe
　　→http://202.109.143.79:81/s.txt

　　　→http://202.109.143.79:81/ma.exe

うわー。
アラド戦記(韓)
FFXI(日米欧)
MapleStory(韓)
AION(日韓)
十二ノ天(韓)
韓国を中心に複数の国にまたがって
複数のオンラインゲームのアカウントを盗みます。

---

2010-07-28

http://www.wangqiao365.com/img/yahoo.js
→http://www.wangqiao365.com/img/ad.htm (MS10-018)
→http://www.jiashijie.cn/img/news.html (MS10-002)
　→http://www.jwsc.cn/images/s.exe
　　→http://202.109.143.16:81/s.txt

　　　→http://202.109.143.16:81/ma.exe

(mobllo.in = 202.109.143.16)
MapleStoryの部分が強化されていますが、基本的には同じ物です。
inドメインとyahoo.js。2677.inや4589.inの親戚かもしれません。

---

2010-07-30


左がダウンローダー(s.exe → プロファイル\Microsoft\smx4pnp.dll)で、
右がトロイ(ma.exe → system32\xcvaver0.dll 数字はxcvaver1.dllなど変動)です。
VMProtectで固められてしまい、覗く楽しみが減りました。

---

2010-08-02

http://www.wangqiao365.com/img/yahoo.js (停止)
http://www.800816.com.cn/cache/yahoo.js
→http://www.800816.com.cn/cache/ad.htm (MS10-018)
→http://www.800816.com.cn/cache/news.html (MS10-002)
　→http://www.jwsc.cn/images/s.exe
　　→(略)

---

2010-08-03

http://www.800816.com.cn/cache/yahoo.js
→http://www.800816.com.cn/cache/ad.htm (MS10-018)
→http://www.800816.com.cn/cache/news.html (MS10-002)
　→http://www.17oye.cn/images/s.exe
　　→(略)

---

2010-08-04

ヘルプセンターの脆弱性が追加されました。
http://www.800816.com.cn/cache/yahoo.js
→http://www.800816.com.cn/cache/ad.htm (MS10-018)
→http://www.800816.com.cn/cache/news.html (MS10-002)
→http://www.800816.com.cn/cache/hcp.html (MS10-042)

　→http://www.800816.com.cn/cache/s.hta

　　→http://www.17oye.cn/images/s.exe
　　　→(略)

---

2010-08-09

http://www.gamecollege.co.kr/zboard/data/yahoo.js
→http://www.gamecollege.co.kr/zboard/data/ad.htm (MS10-018)
→http://www.gamecollege.co.kr/zboard/data/news.html (MS10-002)
→http://www.gamecollege.co.kr/zboard/data/hcp.html (MS10-042)
　→http://www.gamecollege.co.kr/zboard/data/s.hta
　　→http://www.17oye.cn/images/s.exe
　　　→(略)

---

2010-08-10

http://www.gamecollege.co.kr/zboard/data/yahoo.js (削除)
http://www.successtest.co.kr/files/yahoo.js
→http://www.successtest.co.kr/files/ad.htm (MS10-018)
→http://www.successtest.co.kr/files/news.html (MS10-002)
→http://www.successtest.co.kr/files/hcp.html (MS10-042)
　→http://www.successtest.co.kr/files/s.hta
　　→http://www.17oye.cn/images/s.exe
　　　→(略)

---

2010-08-11

http://www.successtest.co.kr/files/yahoo.js (削除)
http://www.yxf.me/caches/yahoo.js
→http://www.yxf.me/caches/ad.htm (MS10-018)
→http://www.yxf.me/caches/news.html (MS10-002)
→http://www.yxf.me/caches/hcp.html (MS10-042)
　→http://www.yxf.me/caches/s.hta
　　→http://www.17oye.cn/images/s.exe
　　　→(略)

続く