インジェクション - yahoo.js 2
Published: 2010/09/21
これも意外とケイゾクしてます。
ゲーム系のアカウント情報を盗む系ですね。去年はやった大量のインジェクションの系譜上にあるものかなぁと。
最近のもの。
2010/09/09 www.faloge.com/js/yahoo.js 2010/09/15 www.1webweb.com/images/yahoo.js 2010/09/19 www.chinacsrmap.org/images/yahoo.js 2010/09/20 www.24hkgame.com/image/yahoo.js
最初の.jsにもバリエーションがあるようなので2例ほど。
www.chinacsrmap.org/images/yahoo.js
の中身。
解読するとこのようなiframeが。
www.24hkgame.com/image/yahoo.js
の中身。
解読するとこのようなiframeが。
iframeで飛ばされる中身は、基本的にインジェクション - yahoo.jsと同じですのでそちらを参照。
最終的にいただけるバイナリはこれ。このあたりは中身含め時期によりいろいろかわるようです。
http://www.yangzhou-etdz.com/images/s.exe
Domain ID:D109610145-LROR Domain Name:CHINACSRMAP.ORG Created On:16-Dec-2005 10:52:41 UTC Last Updated On:16-Dec-2009 01:27:57 UTC Expiration Date:16-Dec-2011 10:52:41 UTC Sponsoring Registrar:OnlineNIC Inc. (R64-LROR) Status:CLIENT TRANSFER PROHIBITED Registrant ID:ONLC-1923823-4 Registrant Name:guo peiyuan Registrant Organization:shangdaozongheng Registrant Street1:beijing Registrant Street2: Registrant Street3: Registrant City:beijing Registrant State/Province:Beijing Registrant Country:CN 220.194.44.228 inetnum: 220.192.0.0 - 220.207.255.255 netname: UNICOM descr: China United Network Communications Corporation Limited descr: No.21 Financial Street,Xicheng District, Beijing 100140 ,P.R.China admin-c: XZ67-AP tech-c: XZ67-AP country: CN
Domain Name: 24HKGAME.COM Registrar: XIN NET TECHNOLOGY CORPORATION Whois Server: whois.paycenter.com.cn Referral URL: http://www.xinnet.com Name Server: NS1.EVERDNS.COM Name Server: NS2.EVERDNS.COM Status: ok Updated Date: 13-jan-2010 Creation Date: 13-jan-2010 Expiration Date: 13-jan-2011 121.12.105.151 inetnum: 121.12.105.0 - 121.12.105.255 netname: dongguanshiweiyiwangluokejiyoux descr: guangdongshengdongguanshiguanchengqudongzongdadaodiwangshangwuzhongxin702 country: CN admin-c: DG-AP tech-c: IC83-AP mnt-by: MAINT-CHINANET-GD changed: gdtel_ipreg@163.com 20100103 status: Allocated non-portable source: APNIC
Domain Name: YANGZHOU-ETDZ.COM Registrar: HICHINA ZHICHENG TECHNOLOGY LTD. Whois Server: grs.hichina.com Referral URL: http://www.net.cn Name Server: DNS21.HICHINA.COM Name Server: DNS22.HICHINA.COM Status: ok Updated Date: 23-mar-2010 Creation Date: 07-oct-2009 Expiration Date: 07-oct-2010 58.241.134.235 inetnum: 58.241.134.0 - 58.241.134.255 netname: Wangtongkuandai-Corp country: CN descr: Yangzhou Wangtong Broad Band Co.Ltd,Yangzhou,Jiangsu Province admin-c: LL58-AP
by jyake