zlkon時代と似ています。解読すると以下のようになります(整形済み)。
「.cn」ですがIPアドレスはロシアです。
WindowsでNT6以外ということで、
Vista・Server2008、7・Server2008R2は除外されます
(ME、2000、XP・Server2003までの全てのWindowsが対象です)。
この後が面白いです。
私のXP+IE8でalertすると以下のようになります。
この数字は以下のようになります。
5.8.6001.18702 → 5818702
XP+IE7では以下のようになると思います。
5.7.0.5730 → 575730
XP+IE7+
KB933812では以下のようになると思います。
5.7.0.16450(GDR) → 5716450
5.7.0.20550(QFE) → 5720550
IE6+
KB944338(
MS08-022)では以下のようになると思います。
5.6.0.8835 → 568835
IEを通すのであればもっと簡単な方法がいくつもあります(UAを調べる、VBScriptを使うなど)が、
一般的なスクリプトデコーダやIE以外のブラウザではこの値は返らないため
「解読しているのではなく、本当にIEで表示しているのか?」を調べているものと思われます。
この後に使われる脆弱性は2つあり、いずれもAdobeのソフトウェアです。
http://gumblar.cn/rss/?id=2 (←pdf、Acrobat)
http://gumblar.cn/rss/?id=3 (←swf、Flash)
http://gumblar.cn/rss/?id=10 (←exe)
zlkon時代と同様に何らかのアクセス制御(IPアドレスやホスト名など)があるようです
(それぞれpdf、swf、exeを拾えない場合は蹴られています)。
検体の提出はしましたが、頻繁に更新されると思います。
注入されているスクリプトのバリエーション。
自動生成されていると思われるこれらを単純にパターンマッチするのは現実的ではありません。
martuz.cnに移行しました。
