インジェクション

multi-stats.info 2010-11-26
zzts.in 2010-11-24
alyoy.in 2010-11-19
social-stats.info 2010-11-17
system-stats.info 2010-11-11
security-stats.info 2010-11-05
dogsun.in 2010-11-04
world-stats598.info 2010-10-31
gddbigebbdbdcdch.in 2010-10-30
gdibeahfdfhhfbfb.in 2010-10-21

この辺の続きです。

174.139.135.78 gdibeahfdfhhfbfb.in

http://world-stats598.info/ur.php

2010-11-03

http://www.jdcmmc.com/images/img.js (削除)
http://www.cqgj.net/images/img.js
→http://www.cqgj.net/images/sky.html
→http://www.cqgj.net/images/kol.htm
　→http://www.nexcomexpo.com/upload/s.exe
　　→(略)

2010-11-05

http://www.womenzz.com/images/img.js
→http://www.womenzz.com/images/sky.html
→http://www.womenzz.com/images/kol.htm
　→http://www.jxcgc.com/images/s.exe
　　→http://98.126.64.186:61688/img/img.txt
IPが変わりました。
98.126.64.186 gdibeahfdfhhfbfb.in sky17.in

http://security-stats.info/ur.php

2010-11-08

http://www.96363.com/upfiles/img.js (削除)
http://www.cqgj.net/images/img.js (削除)
http://www.winitpro.com.cn/js/img.js (削除)
http://www.zzyaya.com/js/img.js (削除)
http://www.womenzz.com/images/img.js
→(略)
　→http://www.platinumchina.com/images/s.exe
　　→http://98.126.64.186:61688/img/img.txt

2010-11-14

http://www.zyxyfy.com/images/pic.js
→http://www.zyxyfy.com/images/ner.html
→http://www.zyxyfy.com/images/sos.htm
　→(略)
img.jsがpic.jsになりました。

http://system-stats.info/ur.php

2010-11-17

http://www.i-mad.com/image/img.js
→http://www.i-mad.com/image/sky.html
→http://www.i-mad.com/image/kol.htm
http://www.mount-tai.com.cn/js/img.js
→http://www.mount-tai.com.cn/js/sky.html
→http://www.mount-tai.com.cn/js/kol.htm
img.jsに戻りました。
ダウンローダーは3本更新しています。
http://www.cycdc.org.cn/images/s.exe
http://www.freeholiday.com.cn/css/s.exe
http://www.platinumchina.com/images/s.exe
→http://76.73.84.2:61688/img/img.txt

IPが変わりました。
76.73.84.2 gdibeahfdfhhfbfb.in sky17.in

2010-11-21

http://www.qpbay.com/DictData/img.js (削除)
http://www.samdecaux.com/images/pic.js
→http://www.samdecaux.com/images/ner.html
→http://www.samdecaux.com/images/sos.htm
　→http://www.cnfc.com.cn/images/s.exe
　　→(略)

http://social-stats.info/ur.php

2010-11-26

http://www.i-mad.com/image/img.js (削除)
http://www.samdecaux.com/images/pic.js (削除)
http://www.mount-tai.com.cn/js/img.js
→(略)
　→http://www.jxjd.gqt.org.cn/Images/s.exe
　　→http://96.44.141.156:61688/img/img.txt

96.44.141.156 img1.alyoy.in img1.dogsun.in

2010-11-27

http://www.xufu9.com/image/pic.js (削除)
http://www.yiqicall.com/images/pic.js
→http://www.yiqicall.com/images/ner.html
→http://www.yiqicall.com/images/sos.htm
　→http://www.zhuti138.cn/images/s.exe
　　→http://76.73.84.6:61688/img/img.txt
76.73.84.6 zzts.in

(略)→http://www.dzfl.net/images/s.exe

2010-11-28

http://multi-stats.info/ur.php

2010-11-30

IPが変わりました。
http://76.73.110.250:61688/img/img.txt
76.73.110.250 zzts.in
http://96.44.141.157:61688/img/img.txt
96.44.141.157 img1.alyoy.in img1.dogsun.in

変わらないだろうと思っていたトロイの
ファイル名も変わっています。
11月29日
ev3zxc.exe
ev3szxc10.dll
ev3szxc20.dll
11月30日
aev3zxc.exe
aev3szxc10.dll
aev3szxc20.dll
投下先はsystem32です。

やられちゃったサイトに残置されているダウンローダーの
ファイル名も変わっています。
11月11日
smx4pnp.dll
11月19日
v3smx4pnp.dll
11月27日
smx4pnp.dll
11月29日
fv3smx4pnp.dll
11月30日
ev3smx4pnp.dll
投下先はプロファイル\Microsoftです。

続く