cNotes 検索 一覧 カテゴリ

インジェクション - recover888.com

Published: 2010/04/15

ひと月ちかく綺麗だったサイトが、再度やられてしまったのですが、若干系統が変わったようなので。

インジェクションされるコードはこれ。

一回目解読すると、いつもの難読化コードがあらわれて

さらに解読するとこれ。

すぐにはダウンロードできないようなので経過観察。

   Domain Name: RECOVER888.COM
   Registrar: TODAYNIC.COM, INC.
   Whois Server: whois.todaynic.com
   Referral URL: http://www.NOW.CN
   Name Server: NS1.FREEDNS.WS
   Name Server: NS2.FREEDNS.WS
   Status: clientTransferProhibited
   Updated Date: 06-apr-2010
   Creation Date: 06-apr-2010
   Expiration Date: 06-apr-2011
 inetnum:        193.105.174.0 - 193.105.174.255
 netname:        COLO-NET
 descr:          PE Volovik Elena Sergiyvna
 descr:          Kyiv
 country:        UA

このサイトですが、他にもいろんな悪さに使われていますね。

  • Eleonore Exploits packのコントロールパネル
  • ZeuSのC&C
  • ZeuSのマルウェア配布
  • dropzone利用も?

ディレクトリの利用方法が共通っぽいので、いろいろな悪さというよりすべて一つの攻撃なのかもしれませんね。

[カテゴリ:インジェクション観察日記]

by jyake