インジェクション

「ブログ民」「ブログ店」にスクリプトが注入されています。
http://61.31.235.114/i.swf (flashではなくscript)
→http://61.31.235.114/index.htm
　→http://61.31.235.114/0614.htm
　　→http://jmrlmgg.cn/jp.exe
　→http://61.31.235.114/ani.htm
　　→http://61.31.235.114/ani.cur
　　　→http://jmrlmgg.cn/jp.exe
　→http://61.31.235.114/08053.htm
　→http://61.31.235.114/flash.htm
　　→http://61.31.235.114/fl/ifl.html
　　　→http://61.31.235.114/fl/i*.swf (*=[16,28,45,47,64,115])
　　→http://61.31.235.114/fl/ffl.html
　　　→http://61.31.235.114/fl/f*.swf (*=[16,28,45,47,64,115])
　→http://61.31.235.114/real11.htm
http://jmrlmgg.cn/jp.exe

→http://avse2.cn/2.txt


2008-11-14

---

2008-11-12

http://web.do2a.cn/root/vop.htm
→http://web.do2a.cn/root/vip.htm
→http://web.do2a.cn/root/off.htm
→http://web.do2a.cn/bbs/fx.htm

2008-11-12

---

2008-11-11

http://www.google-analytics.tw.cn/main.js
→http://baidu-baiduxin1.cn/b117173/b11.htm
　→http://baidu-baiduxin1.cn/b117173/new.html
　　→(略)

http://web.gd3w.cn/root/vop.htm
→http://web.gd3w.cn/root/vip.htm
→http://web.gd3w.cn/root/off.htm
→http://web.gd3w.cn/hc/fh.htm

(謎)
→http://mekiller.com/1/ms06014.htm
　→http://mekiller.com/css/css.exe
→http://mekiller.com/1/access.htm
　→http://mekiller.com/css/css.exe
http://mekiller.com/css/css.exe
→http://mekiller.com/xzz/aa1.exe
mysy8.comの後継です。

2008-11-11

---

2008-11-09

http://mysy8.com/1/1.js
→http://mysy8.com/1/1.htm
　→http://mysy8.com/1/Ms06014.htm
　　→http://mysy8.com/css/css.exe
　→http://mysy8.com/1/Access.htm
　　→http://mysy8.com/css/css.exe
　→http://mysy8.com/1/Ms08053.htm
　→http://mysy8.com/1/Ms08011.htm
　→http://mysy8.com/1/Flash.htm
　　→http://mysy8.com/1/Flash.swf
　→http://mysy8.com/1/Real.js
　→http://mysy8.com/1/Real11.htm
　→http://mysy8.com/1/ActiveX.htm
　→http://mysy8.com/1/IConics.htm
IConics.htmはICONICS(何これ?)のActiveXコントロールの脆弱性のようです。
これより先に下記が注入されています。「s」抜きは普通のホストに見えますが、
勝手に「s」を追加したんでしょうか(どうやって?)。
http://s.ardoshanghai.com/s.js (閉鎖)
http://s.cawjb.com/s.js
http://s.kaisimi.net/s.js
http://s.shunxing.com.cn/s.js (閉鎖)
→http://mysy8.com/DD/cuteqqs.htm
　→http://mysy8.com/dd/Ms06014.htm
　　→http://mysy8.com/css/css.exe
　→http://mysy8.com/dd/Access.htm
　　→http://mysy8.com/css/css.exe
　→http://mysy8.com/dd/Ms08011.htm
　→http://mysy8.com/dd/Ms08053.htm
　→http://mysy8.com/dd/Flash.htm
　　→http://mysy8.com/1/Flash.swf
　→http://mysy8.com/dd/Real.js
　→http://mysy8.com/dd/Real11.htm
　→http://mysy8.com/dd/ActiveX.htm
　→http://mysy8.com/dd/IConics.htm
http://mysy8.com/css/css.exe
→http://mysy8.com/xzz/aa1.exe
RarSFXによる3匹の詰め合わせです。

Big Chinese Hack 2? (Kaspersky 2008-11-07)
http://acglgoa.com/h.js
http://armsart.com/h.js (404)
http://dbios.org/h.js
http://idea21.org/h.js
http://s4d.in/h.js (404)
http://yrwap.cn/h.js
→http://vvexe.com/haha/index.html
　→http://vvexe.com/haha/06014.htm
　→http://pp.podou.com/haha/down.exe
　→http://vvexe.com/haha/ff.htm
　→http://pp.podou.com/haha/down.exe
　→http://vvexe.com/haha/122yt.htm
　　→http://vvexe.com/haha/gdi1.swf
　　→http://vvexe.com/haha/gdi2.swf
　→http://vvexe.com/haha/12341.htm
　　→http://vvexe.com/haha/i1.html
　　　→http://vvexe.com/haha/i*.swf (*=[16,28,45,47,64,i115])
　　→http://vvexe.com/haha/f2.html
　　　→http://vvexe.com/haha/f*.swf (*=[16,28,45,47,64,f115])
　→http://vvexe.com/haha/y100.htm
　→http://vvexe.com/haha/y101.htm
　→http://vvexe.com/haha/tr.htm (ごみ)
→http://www.kenya.com/faq.htm (アクセス解析)
http://pp.podou.com/haha/down.exe

http://www.vvexe.com/haha/down.txt