http://3b3.org/c.js
→http://nidhsaiodhswiwi11222.cn/aa/a100.htm
→http://nidhsaiodhswiwi11222.cn/aa/360.htm
→http://nidhsaiodhswiwi11222.cn/aa/he.htm (Fx)
→http://nidhsaiodhswiwi11222.cn/aa/02.htm (IE7)
→http://nidhsaiodhswiwi11222.cn/aa/test.htm (IE7)
→http://nidhsaiodhswiwi11222.cn/aa/pp.htm
→http://hongse88.com/svchost.exe
he.htmはFx3.5の脆弱性(
MSFA2009-41)です。
他でも似たようなスクリプトを見かけますので、
MicrosoftVideoやOfficeWebComponentsと同様に
広く使われていると考えていいでしょう。
Fx3.5の人は3.5.1にしておきましょう。
2009-07-18
2009-07-16
http://f1y.in/j.js
→http://www.msrmn.com/dada/index.html
→http://www.msrmn.com/dada/js.js
→(略)
→http://www.bnret.com/web.exe
http://www.bnret.com/web.exe
http://www.bnret.com/123.txt
foxはfox.exeの間違いです。
WoWのアカウント盗用、POL(FFXI)のアカウント盗用、
hostsの書き換えなどで構成されています。
2009-07-16
2009-07-14
http://www.fdsdffdfsf.cn/
→http://www.fdsdffdfsf.cn/test.htm
→http://www.fdsdffdfsf.cn/go.jpg
→http://www.fdsdffdfsf.cn/go1.jpg
→http://www.fdasfadf.cn/new.exe
→http://www.fdsdffdfsf.cn/of.htm
→http://www.fdsdffdfsf.cn/a.js
→http://www.fdasfadf.cn/new.exe
go.jpg+go1.jpgは既知のMS09-032(MicrosoftVideoの脆弱性)ですが、
of.htm+a.jsはMS09-043(OfficeWebComponentsの脆弱性)を悪用するスクリプトです。
SANS-ISC(のInfoCon)が久しぶりに黄色くなりました。
