インジェクション - urchin.js
Published: 2011/10/25
かなり前からあるインジェクションで最近もたくさん見られます。
一例。
検出日 | domain | path |
---|---|---|
2010012118 | 91.212.226.161 | /urchin.js |
2010040400 | 94.102.52.27 | /urchin.js |
2010061310 | jhuiuhxfgxhtfkjhjth.info | /urchin.js |
2010061402 | jhuluhxfgxhlfkjhjth.info | /urchin.js |
2010061714 | jhuiuhxfgxhlfkjhjth.info | /urchin.js |
2011100616 | jjghui.com | /urchin.js |
2011101410 | nbnjkl.com | /urchin.js |
2011101716 | nbnjki.com | /urchin.js |
ファイルの中身はこうで、
解読するとこうなります。
今回の飛ばされ先は
www3.personalcsecurity.rr.nu
ですが、飛び先は頻繁に変わるようです
FakeAV系ですね。
www3.personalcsecurity.rr.nu has address 75.102.21.121 NetRange: 75.102.20.0 - 75.102.23.255 CIDR: 75.102.20.0/22 OriginAS: NetName: SCNET-75-102-20-0-22 NetHandle: NET-75-102-20-0-1 Parent: NET-75-102-0-0-1 NetType: Reassigned RegDate: 2008-03-13 Updated: 2008-03-13 Country: US RegDate: 2008-03-13 Updated: 2011-03-19
by jyake