インジェクション - recover888.com
Published: 2010/04/15
ひと月ちかく綺麗だったサイトが、再度やられてしまったのですが、若干系統が変わったようなので。
インジェクションされるコードはこれ。
一回目解読すると、いつもの難読化コードがあらわれて
さらに解読するとこれ。
すぐにはダウンロードできないようなので経過観察。
Domain Name: RECOVER888.COM Registrar: TODAYNIC.COM, INC. Whois Server: whois.todaynic.com Referral URL: http://www.NOW.CN Name Server: NS1.FREEDNS.WS Name Server: NS2.FREEDNS.WS Status: clientTransferProhibited Updated Date: 06-apr-2010 Creation Date: 06-apr-2010 Expiration Date: 06-apr-2011
inetnum: 193.105.174.0 - 193.105.174.255 netname: COLO-NET descr: PE Volovik Elena Sergiyvna descr: Kyiv country: UA
このサイトですが、他にもいろんな悪さに使われていますね。
- Eleonore Exploits packのコントロールパネル
- ZeuSのC&C
- ZeuSのマルウェア配布
- dropzone利用も?
ディレクトリの利用方法が共通っぽいので、いろいろな悪さというよりすべて一つの攻撃なのかもしれませんね。
by jyake