忍者ブログ

ハルファ紀行

インジェクション

push.net.in 2010-09-08
sofar.co.in 2010-09-07
xxns1.info 2010-07-29
xxns2.info 2010-07-29
xxns3.info 2010-07-29
この辺の続きです。
2010-08-22

http://www.yxf.me/caches/yahoo.js
→http://www.yxf.me/caches/ad.htm (MS10-018)
 →http://www.niitdalian.com/images/s.exe
  →http://202.109.143.16:81/s.txt
   →http://202.109.143.16:81/ma.exe
→http://www.yxf.me/caches/news.html (MS10-002)
 →http://www.17oye.cn/images/s.exe
  →http://202.109.143.16:81/s.txt
   →http://202.109.143.16:81/ma.exe
ヘルプセンターの脆弱性を利用するhcp.htmlは
コードが単純すぎて検知されやすいためか
10日を最後に撤去されました
(なぜかs.htaは21日まで更新されています)。
ダウンローダーやトロイはPackerがASPackになり、
頻繁に更新されています。

2010-08-24

http://www.xzjiayuan.com/ad/yahoo.js
→http://www.xzjiayuan.com/ad/ad.htm (MS10-018)
 →http://www.niitdalian.com/images/s.exe
  →(略)
→http://www.xzjiayuan.com/ad/news.html (MS10-002)
 →http://www.17oye.cn/images/s.exe
  →(略)

2010-08-26

http://www.xzjiayuan.com/ad/yahoo.js
→http://www.xzjiayuan.com/ad/ad.htm (MS10-018)
→http://www.xzjiayuan.com/ad/news.html (MS10-002)
 →http://www.dadi518.com/images/s.exe
  →(略)

別件です。


2010-08-29

http://www.xzjiayuan.com/ad/yahoo.js
→http://www.xzjiayuan.com/ad/ad.htm (MS10-018)
→http://www.xzjiayuan.com/ad/news.html (MS10-002)
 →http://www.xdxny.com/image/s.exe
  →(略)

2010-09-04

おさらい
http://www.xdxny.com/image/s.exe
ダウンローダー(s.exe → プロファイル\Microsoft\smx4pnp.dll)
→http://202.109.143.16:81/s.txt

トロイ(ma.exe → system32\xcvaver0.dll 数字はxcvaver1.dllなど変動)
パケットキャプチャ(tt.exe → WinPcap + system32\nvsvc.exe)
tt.exe は試験的に okok.exe として投入されたことがある
WinPcapを用いるパケットキャプチャです。
smx4pnp.dll はAnalogDevicesConexantのSoundMaxドライバを、
nvsvc.exe はNvidiaのGeForceドライバを装ったファイル名でしょう。

今日の
http://www.xdxny.com/image/s.exe
はダウンローダーではなくなったようです。
トロイ(s.exe → system32\ole.dll system32\imm32.dll)
imm32.dll は既存の物を書き換えるようです。
主に韓国を対象としたトロイのためか、
AhnLabV3に検知されることにご立腹のようです。

F0u0c0k0V03(笑)。
VT
Hauriはもう少しがんばりましょう
(検知したのは提出後です)。

2010-09-05

いつものダウンローダーに戻りました。
http://www.xzjiayuan.com/ad/yahoo.js
→http://www.xzjiayuan.com/ad/ad.htm (MS10-018)
→http://www.xzjiayuan.com/ad/news.html (MS10-002)
 →http://www.exinwl.com/images/s.exe
  →(略)

2010-09-08

トロイの設置場所が変わりました。
http://www.exinwl.com/images/s.exe
→http://98.126.70.154:81/s.txt

(sofar.co.in = 98.126.70.154)

2010-09-09

トロイの構造が変わりました。
(ma.exe → system32\anhzxc.exe system32\anszxc10.dll system32\anszxc20.dll)
ダウンローダーはPackerが変わりました。

何ですかこれ(同じ名前のUnpackerはありますが…)。
特定の砂箱が固まるので困ります。

2010-09-11

http://www.yxf.me/caches/yahoo.js (削除)
http://www.xzjiayuan.com/ad/yahoo.js (削除)
ダウンローダーの設置場所が変わりました。
http://www.faloge.com/js/yahoo.js
→http://www.faloge.com/js/news.html
→http://www.faloge.com/js/ad.htm
 →http://www.mir3.me/images/s.exe
  →(略)

2010-09-14

http://www.faloge.com/js/yahoo.js (削除)
http://www.1webweb.com/images/yahoo.js
→http://www.1webweb.com/images/news.html
→http://www.1webweb.com/images/ad.htm
 →http://www.mir3.me/images/s.exe
  →http://98.126.70.155:81/s.txt

(push.net.in = 98.126.70.155)

続く
PR

コメント

カレンダー

10 2024/11 12
S M T W T F S
1 2
3 4 5 6
7
 8 9
10 11 12 13 14 15
16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

リンク

管理画面
新しい記事を書く

カテゴリー

未選択 ( 0 )
ウイルス ( 196 )
PC ( 501 )

フリーエリア

最新コメント

感謝
[09/14 ヨシノ]
無題
[10/19 Dolly]
無題
[08/22 まとめ臨時。]

最新記事

PDF
(11/16)
PDF
(11/07)
PDF
(10/29)
Java
(10/16)
PDF
(10/05)

最新トラックバック

プロフィール

HN:
Ilion
性別:
非公開

バーコード

RSS

RSS 0.91
RSS 1.0
RSS 2.0

ブログ内検索

アーカイブ

2024 年 11 月 ( 2 )
2024 年 10 月 ( 3 )
2024 年 09 月 ( 2 )
2024 年 08 月 ( 3 )
2024 年 07 月 ( 4 )

最古記事

dda3.netその1
(03/13)
hellh.netその1
(03/13)
dda3.netその2
(03/14)
hellh.netその2
(03/14)
dda3.netとhellh.netその3
(03/14)