http://news.cn2626.com:9898/image.html
→http://news.cn2626.com:9898/news.asp
→http://news.cn2626.com:9898/news.html
→http://news.cn2626.com:9898/01.exe
→http://news.cn2626.com:9898/news.txt
→http://news.cn2626.com:9898/ma.exe
http://music.bm9393.com:9393/index3.html
→http://music.bm9393.com:9393/music.asp
→http://music.bm9393.com:9393/music.html
→http://music.bm9393.com:9393/01.exe
→http://music.bm9393.com:9393/bm.txt
→http://ddd.ck7979.com:7979/7.exe
aspによるアクセス制限がありますが、
わかりやすいhtmlに飛ぶので意味が無いという…。
半年前のドメインもあります。
http://ddd.37kuku.com:7878/01.exe
→http://ddd.37kuku.com:7878/dd.txt
→http://ddd.37kuku.com:7878/3.exe
過去に(同じ作者によると思われる)
日本向けと韓国向けの混載トロイもありましたが、
これは純粋に韓国向けのトロイです。
PlayNC
Nexon
Hangame
Pmang(NeoWiz)
Netmarble
ワンタイムパスワードから何から根こそぎです。
Netmarbleを狙う物は初めて見ました。
そのうち日本でも狙われるかもしれませんね。
system32\nt32.dll
system32\imm32.dll (置換)
Lineageやアラド戦記やMapleStoryはともかく
FIFA Online2のようなスポーツゲームで何故…と思ったら
基本無料のアイテム課金、選手は試合で経験値を獲得するレベル制と
RMTの温床になりがちなゲームシステムのようです。
いつもの。
http://star-stats.info/ur.php
2011-01-11
2011-01-13
いつもの。
http://pop-stats.info/ur.php
2011-01-13
2011-01-15
韓国のオンラインゲーム向けに投入されている
5文字infoドメイン(以前は4文字もあったようです)。
頭はwww固定、ポートも80固定ですが
ファイル名やバイナリはさまざまです。
88sds.info
amhvz.info
as87a.info
asaip.info
asd7a.info
byuns.info
dnf7q.info
gouzi.info
hnblg.info
hvooj.info
infhe.info
okhuy.info
owdmi.info
pglaz.info
srpac.info
swynj.info
xvghb.info
zrngs.info
5文字は完全なランダムではないようで
登録日に沿って微妙にアルファベット順になっており
6文字に移行するかもしれません。
最近は日本向けを見かけなくなりました。
2011-01-15
2011-01-16
昨日の追記です。
efzuj.info
ksfiz.info
lxhmq.info
truvg.info
zxekm.info
ダウンローダーはこんなのです。
http://www.xvghb.info/1/gx.exe
http://www.xvghb.info/1/m4.exe
http://www.zrngs.info/1/ceshi1.exe
3つとも同一のバイナリです。
VB6で作られていますが…。
(整形済み)
5分毎のATコマンドを全てタスクスケジューラに登録するという
とても強引な実装です…。
ネットワークの疎通確認に
http://g.cn/g.exe
というリクエストを飛ばします。
g.cnは最も短いドメインとして知られるGoogle中国です
(大人の事情で香港に飛ばされますが)。
降ってくるトロイはこんなのです。
http://www.xvghb.info/1/cjcj2.exe
http://www.zxekm.info/1/cjcj2.exe
cn2626.cnやck7979.cnのトロイと構造がほぼ同じです
(ゲームにDragonNestやSevenSoulsOnlineなどが追加されています)。
トロイは同じ作者と思われます。
system32\ole.dll
system32\imm32.dll (置換)
2011-01-16
2011-01-17
いつもの。
http://general-st.info/ur.php
2011-01-17
2011-01-19
いつもの。
http://people-on.info/ur.php
2011-01-19
2011-01-20
追記です。
ewvi.info
owof.info
4文字に戻っています。
2011-01-20
2011-01-22
オンラインゲーム用トロイの主な製造元である中国。
ANVA(中国反網絡病毒連盟)の週報より
(CNCERT/CCの組織のようです)。
自国ではやらないなどということは無く、
さすがは本場と唸らせてくれます。
第1組の例
http://*.conna.dtdns.net/asd.js
http://*.office.1s.fr/office.js
http://*.keccs.be.ma/css.js
*はどんどん変わります(何でもいいです。無くてもいいです)。
こんなタグがあります。
http://121.12.169.200:171/win7/index.html?id=124
IPでブロックしたほうがいいかもしれません(変わるとは思いますが)。
id=124は何だかわかりませんが、
http://web.rsiylr.com:6668/Down/my/124.exe
というダウンローダーが降ってきます。
100.exeから160.exeまであります
(数バイトしか違いませんがハッシュは変わります)。
ダウンロードリストはこんなのです。
http://web.rsiylr.com:6668/Down/list.txt
うわー…。
ディレクトリのlimaやziwuは同じ人によると思われるトロイですが、
extはどれも別物ですので他の人からの戴き物でしょう。
同人誌のゲストページみたいですね(?)。
第2組の例
http://bbb.isgre.at/b.js
bbbはあくまで例で、どんどん変わります
(現時点ではbwzまであります)。
こんなタグが入ります。
http://aaa.3-a.net/44/375ay.htm
→http://aaa.3-a.net/44/av.htm
→http://aaa.3-a.net/44/6.htm (IE6)
→http://aaa.3-a.net/44/7.htm (IE7)
aaaはあくまで例で、どんどん変わります
(現時点ではahlまであります)。
また、ディレクトリも11 22 33があります(中身は同じです)。
http://ahl.3-a.net/o/di.exe
というのが降ってきます。
このdi.exeは2バイトずつどんどん太っていきます
(無限に太るわけはないのでそのうち痩せます)。
末尾に(現時点では)「NY」が追加されていきます。
これは何の動作もしないただのごみですがハッシュは変わります。
特定のコードを引っかけるシグネチャに対しては効かない文字列ですが、
ハッシュでファイルを調べるクラウド型のアンチウイルスでは漏れるでしょうね。
Bohu Takes Aim at the Cloud (MMPC)
それにしてもANVAの週報、やられちゃった政府機関(gov.cn)のサイト
(日本で言うと県や市など)を容赦なく晒しているのはすごいですね。
やられ過ぎな気もしますが、公開する姿勢は見習いたいものです
(
これの「事業者様」は秘密ですか?)。
いつもの。
http://online-guest.info/ur.php
前は週1回だったのに…。
2011-01-22
2011-01-25
追記です。
先日のダウンロードリストの頭も何でもいいようです
(無いと繋がりませんが)。
2011-01-25
2011-01-27
いつもの。
http://extra-service.info/ur.php
2011-01-27
2011-02-01
いつもの。
http://extra-911.info/ur.php
http://agasi-story.info/ur.php
