先月、以下のようなスクリプトがいくつかのサイトに注入されていました
(実際は難読化された長いスクリプトでした)。
http://94.247.2.195/jquery.js
zlkon.lv(ラトビアのISP?)配下のIPアドレスであることから
zlkonウイルスなどと呼ばれていました。
今はいくつかのサイトに以下のようなスクリプトが注入されています。
(実際は難読化された長いスクリプトでした)。
http://94.247.2.195/jquery.js
zlkon.lv(ラトビアのISP?)配下のIPアドレスであることから
zlkonウイルスなどと呼ばれていました。
今はいくつかのサイトに以下のようなスクリプトが注入されています。
zlkon時代と似ています。解読すると以下のようになります(整形済み)。
「.cn」ですがIPアドレスはロシアです。
WindowsでNT6以外ということで、Vista・Server2008、7は除外されます
(ME、2000、XP・Server2003までの全てのWindowsが対象です)。
この後が面白いです。
私のXP+IE8でalertすると以下のようになります。
この数字は以下のようになります。
5.8.6001.18702 → 5818702
XP+IE7では以下のようになると思います。
5.7.0.5730 → 575730
XP+IE7+KB933812では以下のようになると思います。
5.7.0.16450(GDR) → 5716450
5.7.0.20550(QFE) → 5720550
IE6+KB944338(MS08-022)では以下のようになると思います。
5.6.0.8835 → 568835
IEを通すのであればもっと簡単な方法がいくつもあります(UAを調べる、VBScriptを使うなど)が、
一般的なスクリプトデコーダやIE以外のブラウザではこの値は返らないため
「解読しているのではなく、本当にIEで表示しているのか?」を調べているものと思われます。
この後に使われる脆弱性は2つあり、いずれもAdobeのソフトウェアです。
http://gumblar.cn/rss/?id=2 (←pdf、Acrobat)
http://gumblar.cn/rss/?id=3 (←swf、Flash)
http://gumblar.cn/rss/?id=10 (←exe)
zlkon時代と同様に何らかのアクセス制御(IPアドレスやホスト名など)があるようです
(それぞれpdf、swf、exeを拾えない場合は蹴られています)。
検体の提出はしましたが、頻繁に更新されると思います。
注入されているスクリプトのバリエーション。
自動生成されていると思われるこれらを単純にパターンマッチするのは現実的ではありません。
martuz.cnに移行しました。
PR
この記事にコメントする
この記事へのトラックバック
非常に危険なウイルス「Gumblar」(gumblar.cn)が感染拡大中
非常に危険なウイルス「Gumblar」(gumblar.cn)が感染を拡大しているようです。
GENOウイルスとも呼ばれているこのウイルスは「Zlkon」の亜種で、Adobe Flash PlayerやAdobe Acrobatの脆弱性を利用...