インジェクション

nsina-dn3d.cn 2009-04-04
yohoo-tj3d.cn 2009-04-04
456363.com 2009-04-02
google-xmz2s.cn 2009-04-02
hao123-nsa92.cn 2009-04-02
d5hk.cn 2009-04-01
vfw3.cn 2009-04-01
ainill.cn 2009-03-31
com54v.cn 2009-03-31
com76j.cn 2009-03-31
com82c.cn 2009-03-31
com87k.cn 2009-03-31
456783.com 2009-03-30
iht2.cn 2009-03-29
mkh6.cn 2009-03-29
okn4.cn 2009-03-29
yfe5.cn 2009-03-29
0956jk.cn 2009-03-28
741239.com 2009-03-28
aswefg.cn 2009-03-28
qr911.cn 2009-03-28
serjk.cn 2009-03-28
xncvm.cn 2009-03-28
za178.cn 2009-03-28
ainiyy.cn 2009-03-26
9ke8.com 2009-03-23
nvb-iu.cn 2009-03-23
qwlmnf.cn 2009-03-23
sjfhsk.cn 2009-03-23
vxmwr.cn 2009-03-23
ainideqian.cn 2009-03-18
ainiuu.cn 2009-03-15
yasws-01.cn 2009-03-10
yasws-02.cn 2009-03-10
yasws-03.cn 2009-03-10
yasws-04.cn 2009-03-10
yasws-05.cn 2009-03-10
yasws-06.cn 2009-03-10
longyitiaov7.cn 2009-03-08
c-bp.cn 2009-03-06
qjwm88.cn 2008-09-15

http://3b3.org/c.js
http://3bomb.com/c.js
→http://www.yohoo-tj3d.cn/gua/a100.htm
　→(略)

2009-04-04

2009-04-03

http://3b3.org/c.js
http://3bomb.com/c.js
→http://www.hao123-nsa92.cn/gua/a100.htm
　→(略)
↓
→http://www.google-xmz2s.cn/gua/a100.htm
　→(略)

http://qwr1.cn/
→http://y.d5hk.cn/d3/b1/index.htm
　→(略)
　　→http://d3.456363.com/03/e.exe

2009-04-03

2009-04-02

http://3b3.org/c.js
http://3bomb.com/c.js
→http://163.com54v.cn/gua/a100.htm
　→(略)
↓
→http://163.com76j.cn/gua/a100.htm
　→(略)

http://qwr1.cn/
→http://y.vfw3.cn/d3/b1/index.htm
　→(略)
　　→http://d3.456783.com/03/g.exe
↓
→http://y.d5hk.cn/d3/b1/index.htm
　→(略)

2009-04-02

2009-04-01

http://3b3.org/c.js
http://3bomb.com/c.js
→http://163.com82c.cn/sina/a100.htm
　→(略)

http://qwr1.cn/
→http://g.iht2.cn/d3/b1/index.htm
　→(略)

2009-04-01

2009-03-31

http://3b3.org/c.js
http://3bomb.com/c.js
→http://163.com87k.cn/sina/a100.htm
　→(略)

2009-03-31

2009-03-30

http://3b3.org/c.js
http://3bomb.com/c.js
→http://za178.cn/gua/a100.htm
　→http://za178.cn/gua/b100.htm
　　→(略)
　　　→http://9ke8.com/xia/f1.css

http://qwr1.cn/
→http://g.mkh6.cn/d3/b1/index.htm
　→(略)
↓
→http://g.yfe5.cn/d3/b1/index.htm
　→(略)

2009-03-30

2009-03-29

http://3b3.org/c.js
http://3bomb.com/c.js
→http://qjwm88.cn/02/02.htm
　→(略)
　　→http://ainiyy.cn/02/020.exe
最近の傾向として、ある難読化されたスクリプトが
実行ファイルのURIが書いてあるスクリプトを呼ぶことが増えています。
例えば従来はms06014.htmやoffice.htmなどで完結していたものが
それぞれms06014.jsやoffice.jsを呼ぶ、などです。
上記の場合は
http://qjwm88.cn/02/yt14.htm
が呼ぶ
http://qjwm88.cn/02/14.js
に
http://ainiyy.cn/02/020.exe
が書いてあったりします。
私としては小汚いスクリプトをデコードする手間が減るので助かっています。
02があるのなら01や03もあるのでは、と思ったら18までありました。
http://yasws-06.cn/01/010.exe
http://ainiyy.cn/03/030.exe
http://ainiyy.cn/04/04.exe
http://ainiyy.cn/05/050.exe
http://ainiyy.cn/06/06.exe
http://ainiyy.cn/07/070.exe
http://ainideqian.cn/08/08.exe
http://ainiuu.cn/09/09.exe
http://longyitiaov7.cn/10/10.exe
http://ainiyy.cn/11/110.exe
http://ainiuu.cn/12/12.exe
http://ainiyy.cn/13/13.exe
http://ainiyy.cn/14/140.exe
http://ainiuu.cn/15/15.exe
http://ainiuu.cn/16/16.exe
http://ainiyy.cn/17/17.exe
http://ainiyy.cn/18/180.exe

http://qwr1.cn/
→http://g.okn4.cn/d3/b1/index.htm
　→(略)
　　→http://d3.741239.com/03/g.exe