インジェクション - 3129 2

「インジェクション - 3129」で利用されるドメインが変わったようです。

難読化インジェクションコードを解読すると出てくるドメインが

 yaeraunaetainoos.in

から

 saeghiebeesiogoh.in

に変わりました。

 Domain ID:D4029030-AFIN
 Domain Name:SAEGHIEBEESIOGOH.IN
 Created On:07-Feb-2010 10:33:25 UTC
 Last Updated On:07-Feb-2010 17:22:07 UTC
 Expiration Date:07-Feb-2011 10:33:25 UTC
 Sponsoring Registrar:Directi Web Services Pvt. Ltd. (R118-AFIN)
 Status:CLIENT TRANSFER PROHIBITED
 Status:TRANSFER PROHIBITED
 Registrant Country:RU

 ;; QUESTION SECTION:
 ;saeghiebeesiogoh.in.           IN      A
 
 ;; ANSWER SECTION:
 saeghiebeesiogoh.in.    300     IN      A       89.248.168.168
 
 ;; AUTHORITY SECTION:
 saeghiebeesiogoh.in.    300     IN      NS      dns1.naunet.ru.
 saeghiebeesiogoh.in.    300     IN      NS      dns2.naunet.ru.
 
 ;; ADDITIONAL SECTION:
 dns2.naunet.ru.         300     IN      A       193.227.241.60
 dns2.naunet.ru.         300     IN      A       193.227.240.38

 inetnum:        89.248.168.0 - 89.248.168.255
 netname:        NL-ECATEL
 descr:          AS29073, Ecatel LTD
 country:        NL

IPアドレスは新旧共通でその他にもいろいろな悪性のドメインで利用されています。

その他スクリプト、URL含めて旧タイプとまったく同じです。

今現在はサイト側の問題でマルウェアのダウンロードはできないようです。

[カテゴリ:インジェクション観察日記]

by jyake