インジェクション

sol-stats.info 2010-12-25
yamade.in 2010-12-24
intster.in 2010-12-19
broadbands.in 2010-12-15
ave-stats.info 2010-12-14
mol-stats.info 2010-12-08
ftmon.in 2010-12-03
tzv-stats.info 2010-12-01
fount.in 2010-11-24

この辺の続きです。

http://www.alahb.com/images/pic.js (削除)
http://www.jingmen.info/images/pic.js (削除)
http://www.yiqicall.com/images/pic.js (削除)
http://www.mount-tai.com.cn/js/img.js
(略)→http://www.dzfl.net/images/s.exe
　→http://67.159.45.128:61688/img/img.txt
67.159.45.128 img1.alyoy.in img1.dogsun.in

http://www.pkupe.com/images/pic.js
→http://www.pkupe.com/images/ner.html
→http://www.pkupe.com/images/sos.htm
　→http://www.kemosi.com/images/s.exe
　　→http://76.73.110.250:61688/img/img.txt
76.73.110.250 zzts.in

連絡先(メールやフォーム。QQや電話は無理)が
明記されているサイトには連絡していますが、
泰山はさっぱり削除されませんね。

返信? 迷惑メールが少々…。

http://tzv-stats.info/ur.php

2010-12-03

http://www.pkupe.com/images/pic.js
(略)→http://www.ty256.com/images/s.exe

76.73.110.252 img1.alyoy.in img1.dogsun.in zzts.in

2010-12-04

76.73.110.252 img.fount.in img1.alyoy.in img1.dogsun.in zzts.in

2010-12-06

http://www.wanju888.com/css/img.js
→http://www.wanju888.com/css/sky.html
→http://www.wanju888.com/css/kol.htm
　→http://www.dzfl.net/images/s.exe

70.39.100.3 img.fount.in img1.alyoy.in img1.dogsun.in

2010-12-10

http://www.wanju888.com/css/img.js (削除)
http://www.mount-tai.com.cn/js/img.js
(略)→http://www.pacificenglish.cn/uploads/s.exe

http://mol-stats.info/ur.php

2010-12-16

http://ave-stats.info/ur.php
毎週律儀ですね…。

2010-12-21

http://www.pkupe.com/images/pic.js (削除)
http://www.caopanbang.com/js/img.js (削除)
http://027tennis.com/images/pic.js
→http://027tennis.com/images/ner.html
→http://027tennis.com/images/sos.htm
　→http://www.qxqy88.com/users/s.exe
　　→http://broadbands.in:61688/img/img.txt
　　→http://img.ftmon.in:61688/img/img.txt
broadbands.in から拾えない場合は
img.ftmon.in から拾うようです。
更新が遅いDNSサーバーへの対策でしょうか
(ダミーが混ざることもあります)。
ダウンローダーのファイル名が変わっています。
DriversSystem32.dll
投下先はプロファイル\Microsoftです。

2010-12-22

http://www.mount-tai.com.cn/js/img.js
(略)→http://www.pacificenglish.cn/uploads/s.exe
　→http://pic6563266713.inster.in/img/P0CD/img.exe
　　→http://mlgbd.broadbands.in:61688/img/img.txt
s.exeが小さくなったと思ったら
従来のs.exeがimg.exeになっていました。
ダウンローダーのダウンローダーです。
system32\urlmons.dll

2010-12-25

ダウンローダーのファイル名が変わっています。
WindosSysDrivers.dll
投下先はプロファイル\Microsoftです。

2010-12-26

http://sol-stats.info/ur.php

2010-12-27

(略)→http://mast7632656751.yamade.in:61688/img/img.txt