cNotes 検索 一覧 カテゴリ

インジェクション - yahoo.js 2

Published: 2010/09/21

これも意外とケイゾクしてます。

ゲーム系のアカウント情報を盗む系ですね。去年はやった大量のインジェクションの系譜上にあるものかなぁと。

最近のもの。

 2010/09/09 www.faloge.com/js/yahoo.js
 2010/09/15 www.1webweb.com/images/yahoo.js
 2010/09/19 www.chinacsrmap.org/images/yahoo.js
 2010/09/20 www.24hkgame.com/image/yahoo.js

最初の.jsにもバリエーションがあるようなので2例ほど。

 www.chinacsrmap.org/images/yahoo.js

の中身。

解読するとこのようなiframeが。


 www.24hkgame.com/image/yahoo.js

の中身。

解読するとこのようなiframeが。

iframeで飛ばされる中身は、基本的にインジェクション - yahoo.jsと同じですのでそちらを参照。

最終的にいただけるバイナリはこれ。このあたりは中身含め時期によりいろいろかわるようです。

 http://www.yangzhou-etdz.com/images/s.exe

http://www.virustotal.com/file-scan/report.html?id=27a913a763655164b2f60039c5e6765e84acf5f3ba0cc2ac5b01f12bc39f4c42-1285045127


 Domain ID:D109610145-LROR
 Domain Name:CHINACSRMAP.ORG
 Created On:16-Dec-2005 10:52:41 UTC
 Last Updated On:16-Dec-2009 01:27:57 UTC
 Expiration Date:16-Dec-2011 10:52:41 UTC
 Sponsoring Registrar:OnlineNIC Inc. (R64-LROR)
 Status:CLIENT TRANSFER PROHIBITED
 Registrant ID:ONLC-1923823-4
 Registrant Name:guo peiyuan
 Registrant Organization:shangdaozongheng
 Registrant Street1:beijing
 Registrant Street2:
 Registrant Street3:
 Registrant City:beijing
 Registrant State/Province:Beijing
 Registrant Country:CN
 
 220.194.44.228
 inetnum:      220.192.0.0 - 220.207.255.255
 netname:      UNICOM
 descr:        China United Network Communications Corporation Limited
 descr:        No.21 Financial Street,Xicheng District, Beijing  100140  ,P.R.China
 admin-c:      XZ67-AP
 tech-c:       XZ67-AP
 country:      CN
 Domain Name: 24HKGAME.COM
 Registrar: XIN NET TECHNOLOGY CORPORATION
 Whois Server: whois.paycenter.com.cn
 Referral URL: http://www.xinnet.com
 Name Server: NS1.EVERDNS.COM
 Name Server: NS2.EVERDNS.COM
 Status: ok
 Updated Date: 13-jan-2010
 Creation Date: 13-jan-2010
 Expiration Date: 13-jan-2011
 
 121.12.105.151
 inetnum:      121.12.105.0 - 121.12.105.255
 netname:      dongguanshiweiyiwangluokejiyoux
 descr:         guangdongshengdongguanshiguanchengqudongzongdadaodiwangshangwuzhongxin702
 country:      CN
 admin-c:      DG-AP
 tech-c:       IC83-AP
 mnt-by:       MAINT-CHINANET-GD
 changed:      gdtel_ipreg@163.com 20100103
 status:       Allocated non-portable
 source:       APNIC
  Domain Name: YANGZHOU-ETDZ.COM
   Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
   Whois Server: grs.hichina.com
   Referral URL: http://www.net.cn
   Name Server: DNS21.HICHINA.COM
   Name Server: DNS22.HICHINA.COM
   Status: ok
   Updated Date: 23-mar-2010
   Creation Date: 07-oct-2009
   Expiration Date: 07-oct-2010
 
 58.241.134.235
 inetnum:      58.241.134.0 - 58.241.134.255
 netname:      Wangtongkuandai-Corp
 country:      CN
 descr:        Yangzhou Wangtong Broad Band Co.Ltd,Yangzhou,Jiangsu Province
 admin-c:      LL58-AP

[カテゴリ:インジェクション観察日記]

by jyake