インジェクション

いつもの。
http://vovmml.com/ur.php

osCommerce。
http://eponim.mk/js/
→http://91.228.230.54/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34

2011-08-26

---

2011-08-27

昨日受信した迷惑メールの添付ファイル。
http://rattsillis.com/blood.exe
http://rattsillis.com/ftp/g.php

2011-08-27

---

2011-09-02

osCommerce。
http://dynopack.co.uk/j/
既に削除されているので、すぐに変わるでしょう。

2011-09-02

---

2011-09-03

osCommerce。
http://ayba.co.uk/j/
→http://34sadjkcznczxm.cz.cc/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34
すぐに削除されました。
http://orangeblue.cl/js/ (再利用…)
→http://rotiscop.cx.cc/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34

2011-09-03

---

2011-09-07

osCommerce。
http://orangeblue.cl/js/
→http://ggvtc.com/ext/?t=13xxxxxxxx (HTTP302)
　→http://mariko5.ru/iframe.php?id=2vxn6l2fl5sz31hudqzw3jovirruj1z
302で転送されました。またmarikoさんですか…。
13xxxxxxxxの数字はいわゆるUNIX時間です。
末尾のIDがいつもと異なっています。

http://eponim.mk/js/
→http://moscowcity.bee.pl/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34
こちらはいつものIDですね。

2011-09-07

---

2011-09-09

迷惑メールの添付ファイル。
http://onemoretimehi.ru/piety.exe
http://justdoitagain2.ru/piety.exe

2011-09-09

---

2011-09-13

http://file-dl.com/show.php?id=1
末尾の数字のIDはいくつもあります。
「crack」の文字列にリンクを張りますが
左上9999pxなので表示されません(目的が不明)。
file-dl.comにはソフトウェアへのリンクが大量にありますが、
どれを拾ってもdownvision.comからの2.7MBのファイルです。
海賊版用のBitTorrentクライアントですかね?

osCommerce。
http://orangeblue.cl/js/
→http://korolevnama.cx.cc/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34

2011-09-03

---

2011-09-15

osCommerce。
http://orangeblue.cl/js/
→http://lopoltsov.cx.cc/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34

迷惑メールの添付ファイルその1。
http://onemoretimehi.ru/tops.exe
http://www.vishaplastics.com/piety.exe

迷惑メールの添付ファイルその2。
http://www.kumatoznik.ru/forum/index.php?cmd=getload&login=00000000000000000&sel=00000&ver=5.1&bits=0&file=0
file=9まで10個のリクエストがありますが、
今後のバージョンアップ用でしょうか?
login(17桁の16進数)やsel(5桁の10進数)や
ver(OSバージョン?)やbits(0固定?)は
何でもいいようです(同じ物が降ってきます)。

2011-09-15

---

2011-09-16

迷惑メールの添付ファイル。
http://tronopays.com/tops.exe